SPLITTER SPLITTER. IT-Nachrichten für die Berliner Verwaltung Nr. 3/ Jahrgang. Schwerpunkt: Datensicherheit 3/08 1

Größe: px
Ab Seite anzeigen:

Download "SPLITTER SPLITTER. IT-Nachrichten für die Berliner Verwaltung Nr. 3/2008-18. Jahrgang. Schwerpunkt: Datensicherheit 3/08 1"

Transkript

1 IT-Nachrichten für die Berliner Verwaltung Nr. 3/ Jahrgang Schwerpunkt: Datensicherheit 3/08 1

2 Editorial Liebe Leserinnen und Leser, die Medienberichterstattung über den Handel mit persönlichen Daten hat das Thema Datensicherheit in den Mittelpunkt des öffentlichen Interesses gerückt. Wir begrüßen die wachsende Aufmerksamkeit der Bürgerinnen und Bürger, was den Missbrauch ihrer Mailadressen und anderer persönlicher Daten betrifft. Das hohe Maß an krimineller Energie bei der Beschaffung sensibler Daten verdeutlichen die täglichen Angriffe auf die Firewall des Berliner Landesnetzes. Als IT-Dienstleister für die Berliner Verwaltung hat der Schutz des von uns bereitgestellten Landesnetzes sowie der Server in unserem Rechenzentrum (Data-Center) höchste Priorität. Den unbefugten Zugriff auf das Berliner Landesnetz und die Server verhindern ein mehrstufiges Firewallsystem und unser professionelles Expertenteam (Siehe Artikel ab Seite 4). Verantwortlich sind wir jedoch nur für die Sicherheit des Berliner Landesnetzes als MAN (Metropolitan Area Network) oder für die LAN (Local Area Network) unserer Kunden in der Berliner Verwaltung. Denn laut dem Berliner Landesgesetz ist jede Behörde dazu verpflichtet, für einen ausreichenden Schutz des hauseigenen Datennetzes zu sorgen. Das aktuelle Schwerpunktthema Datensicherheit möchte ich daher nutzen, um an alle Berliner Behörden zu appellieren, sich der ausreichenden Schutzmaßnahmen ihres LAN zu versichern. Das ITDZ Berlin kann die Institutionen der Hauptstadtverwaltung mit der Analyse ihrer IT-Sicherheitssysteme unterstützen, indem wir den Schutzbedarf der Daten detailliert aufzeigen und Lösungsvorschläge zur Sicherung des lokalen Netzes bieten. Die individuellen Zugänge zum Berliner Landesnetz sichern wir mit einer Public Key Infrastructure (PKI). Der Anschluss der Mail-Server in den Verwaltungen an das SMTP-Gateway des Berliner Landesnetzes sichert die -Anbindung an das Internet ab. Diese und weitere IT-Sicherheitsprodukte unseres Hauses können einen umfassenden Schutz der Daten gewährleisten. Nicht nur sicher, sondern auch effektiv ist das Dokumenten-Management-System (DMS), das mit dem Projekt SIDOK (Senatsinformations- und Dokumentationssystem) in die Berliner Verwaltungsprozesse implementiert wurde. SIDOK vereinfacht und beschleunigt die Kommunikation zwischen den Geschäftsstellen des Senats und ermöglicht die zentrale elektronische Verwaltung der Beratungsunterlagen und Beschlüsse des Gremiums. Als Pilotprojekt ist SIDOK für die flächendeckende Einführung eines DMS in der Berliner Verwaltung ein wichtiger Baustein der egovernment-suite des ITDZ Berlin. (Artikel Seite 23) Zum Abschluss möchte ich Sie auf einen Artikel hinweisen, der über Rechte und mögliche Ansprüche an Bildern auf Internetseiten informiert. Eine frühzeitige Auseinandersetzung mit diesem Thema und die Beachtung der rechtlichen Hinweise bewahrt vor finanziellen Forderungen und rechtlichen Konsequenzen. (Artikel Seite 38) Eine informative und unterhaltsame Lektüre wünscht Ihnen Konrad Kandziora Vorstand 3/08 2

3 Editorial Editorial 2 Schwerpunktthema Die IT-Sicherheits-Administratoren im ITDZ Berlin 4 ITDZ Berlin modernisiert PKI 6 Neuer BSI Standard vom Bundesamt für Sicherheit in der Informationstechnik (BSI) 7 Sicherheit als Teamaufgabe 9 Ergebnisse der Studie IT Security 2OO8 11 IT-Angriffe aus dem Müll 11 Fast vier Millionen Opfer von Computer- und Internet-Kriminalität 12 Zahl der Phishing-Opfer erreicht Höhepunkt 13 Warnung vor Passwortklau beim Online-Einkauf 15 Europäische Kommission fördert Symantec-Projekt zum Schutz kritischer Infrastrukturen vor Cyber-Kriminalität 16 Nationale Wirtschaft laut EU-Agentur für Computersicherheit durch Internet-kriminalität bedroht 17 Klassische Firewall schützt nicht die Webanwendungen 18 Sicherheit aus der Hauptstadtregion 19 Parlament und Senat Datenschutz hat festen Platz in den Berliner Behörden 2O Verwaltungsmodernisierung auf gutem Weg 2O Berlin beteiligt sich am Vorhaben Deutschland-Online Infrastruktur 21 E-Government und Verwaltung Projekt SIDOK erfolgreich abgeschlossen 23 Projekt Prüfungsanmeldung Online im LAGeSo 26 Elektronischer Entgeltnachweis 28 Elektronische Bürgerdienste immer beliebter 3O BVDW gründet Arbeitskreis E-Government 3O Berlin 2OO9: Ein Ansprechpartner für Behördenkontakte 31 Bayreuth und AKDB vereinfachen Anmeldungen mit VAMS 32 EU-Projekt zur elektronischen Beschaffung mit Bremer Beteiligung 32 Der ITIS-Arbeitsplatz: Frischer Wind für ein etabliertes Produkt 33 Berichte und Infos Kabinett beschließt neuen Personalausweis mit Internetfunktion 35 Das PDF-Format wird ISO-Standard 36 Neues Finanzmanagement für Brandenburg gestartet 37 Rechte an Bildern 38 Landeshauptstadt Stuttgart setzt auf elektronisches Dokumentenmanagement 41 Mehr Komfort für Nutzer, mehr Service für Fachanwendungen 41 Microsoft konkretisiert Interoperabilitäts-Projekt in der OSBF 42 Diktieren mit BlackBerry-Smartphone 42 SAP-Kunden aus der öffentlichen Verwaltung erhalten Auszeichnung des Computerworld Honors Program 43 Die Wirtschaft setzt auf Web 2.O 44 Berlin, Hamburg und Köln Vorreiter beim Handy-Parken 45 Grüne IT für die Berliner Verwaltung 46 Ende des Lebenszyklus von Windows XP 47 Neuentwicklung einer IT-Bestands- und Planungsübersicht der Berliner Verwaltung 48 Deutschland-Online-Lenkungsgruppe mit neuer Führung 48 Online Dienstliche -Adresse wird zum Standard 49 Neues Internetportal hilft Behörden beim Computer-Kauf 49 BITKOM begrüßt Startschuss für neue Internet-Namen 5O Micro-Blogging - mehr als ein Modetrend 5O Stadt Bonn startet Online-Terminreservierung 51 Internet ist unverzichtbares Alltagsmedium 52 Deutschlands Senioren besitzen meist weder Handy noch Computer 52 Gemeinsames Krebsregister mit erweitertem Internetangebot 53 Bundesrat mit neuem Intranet-Auftritt 53 Tipps und Tricks Deutsche sitzen lange vor dem Computer 54 Daten und Fotos mehrfach speichern 54 Veranstaltungen TDZ Berlin: Eine wirtschaftliche und umweltfreundliche IT-Infrastrukturlösung für die Verwaltung 56 Microsoft informiert über Technologien und Trends in Web- und Software-Entwicklung 56 Zukunftsfähig durch Innovation 57 Literatur Suchmaschinen-Buch für Webmaster - Tipps zur Suchmaschinenoptimierung 58 Moderne Verwaltung in der Bürgergesellschaft 58 Energieverbrauch in Rechenzentren senken 59 1O Jahre Google Dies und Das Impressum 6O 6O 3/08 3

4 Wir sprechen Firewall Die IT-Sicherheits- Administratoren im ITDZ Berlin Berlin - Angriffe, Grenznetze, Brandschutzmauern und demilitarisierte Zonen. Die Begriffswelt der Firewall-Administratoren lässt auf Helmpflicht am Arbeitsplatz schließen. Darum könnte der erste Eindruck in den Räumen der Sicherheitsspezialisten des IT-Dienstleistungszentrums Berlin (ITDZ Berlin) durchaus enttäuschen: Denn Poster mit Obst- und Gemüsestillleben, Fußballmotive und Fanartikel des WM-Sommermärchens 2006 sowie zahlreiche Grünpflanzen prägen die Räumlichkeiten. Die kriegerischen Ausdrücke zeugen eher von den Anfängen des Internet, als das Militär die ersten Netzwerkverbindungen schuf und schützte. Vom Arbeitsalltag eines Rekruten ist der eines IT-Administrators heute zum Glück weit entfernt. Man fühlt sich nicht wie beim Militär, bestätigt auch Tobias Krampe (27), Grenznetz- und Firewall-Administrator im ITDZ Berlin, das friedliebende Bild. Das Team teilt sich dabei in die Expertengruppen Firewall, VPN (VPN: Virtual Private Network, es sichert individuelle Zugänge zum Berliner Landesnetz), MAN/MSN (Metropolitan Area Network und das neue Multi Service Netz), LAN (Local Area Network) und Grenznetz. In vorderster Front steht das Grenznetz-Team, das jene Server überwacht, die zwischen die äußere und innere Firewall des Berliner Landesnetzes geschaltet sind,. Im Prinzip kann man sagen, dass sich nahezu täglich Unbefugte für unsere IT- Infrastruktur interessieren, stellt Tobias Krampe fest. Dabei gibt es verschiedene Angriffsvarianten. Ein Beispiel ist die Denial of Service -Attacke (DoS, zu Deutsch etwa: Dienstverweigerung). Hier wird ein Server in einem geplanten Angriff mit einer hohen Zahl von Anfragen belastet, die er nicht mehr verarbeiten klann. Er stellt daraufhin den Dienst ein oder beantwortet reguläre Anfragen so langsam, dass diese abgebrochen werden. In der Praxis kann das heißen, dass Verwaltungsmitarbeiter keine s mehr verschicken und das Internet nicht mehr nutzen können. Ende 2007 fand ein solcher Angriff auf die Mailserver des ITDZ Berlin und damit auf den gesamten Mailverkehr der Berliner Verwaltung über mehrere Tage statt. Das Expertenteam des ITDZ Berlin ließ ihn erfolgreich ins Leere laufen. Eine elektronische Verteidigungslinie Dennoch schützen die Firewall sprechenden Administratoren eine der wesentlichen Verteidigungslinien des Landes Berlin. Ohne sie müssten die Berliner Bürger bangen, dass nicht nur mit jenen Daten, die sie selbst im Internet preisgeben, sondern auch mit den Datensätzen von Finanzämtern und Polizei gehandelt wird. Wir stehen ständig vor der Entscheidung, ob und welche Verbindungen zwischen den Teilnehmern des Berliner Landesnetzes und dem Internet zustande kommen und schützen die Verwaltung somit vor unerlaubten und unerwünschten Zugriffen von außen, beschreibt der Betriebsmanager und stellvertretender Leiter des Datenkommunikationsteams im ITDZ Berlin, die Tätigkeit seiner fast 30 Mitarbeiter. Foto: Archiv Die Waffen im virtuellen Kampf Die Waffen in dem auf Verteidigung ausgelegten Kampf heißen Switch, Router oder Proxy. Als Netzwerksicherheitskomponenten bilden sie das technische Rückgrat der schützenden Firewall. Die richtige Konfiguration der Geräte erfordert Fingerspitzengefühl. Firewalls sind wie eine schöne Frau, verrät der stellvertretender Leiter des Datenkommunikationsteam augenzwinkernd sie wollen gehegt und gepflegt werden dann sind sie aber auch einfach toll. Dabei ist sein Mercedes unter den Firewalls nicht einmal die neueste technische Errungenschaft des ITDZ Berlin. Das hohe technische Niveau der Verteidigungslinie demonstrieren die sowohl Firewall- als auch VPN-Dienste integrierenden speziellen Lösungen, sowie die modernste Verschlüsselung von Voice over IP mit eigens vom Hersteller der Systeme für das ITDZ Berlin programmierten Patches. Regelmäßige Schulungen sichern das notwendige Hintergrundwissen des Teams. 3/08 4

5 Jeder Tag mit neuen Herausforderungen Den Arbeitsalltag der Firewall-Administratoren zu beschreiben ist nahezu unmöglich. Denn einen Alltag gibt es nicht! Jeder Tag stellt einen vor neue Probleme oder neue Anforderungen, versichert Tobias Krampe. Aber genau diese Abwechslung schätzt er an seinem Job am meisten. An jedem Arbeitsplatz des Teams stehen mindestens zwei Bildschirme und zwei PC. Einer der beiden zeigt das Störungsdienst Monitoringsystem, das die Mitarbeiter bei Problemen warnt: Rot = Alarm! Die Mitarbeiter kennen ihre Maschinen und Netze und sind während der Hauptbetriebszeit zwischen 7 und 18 Uhr nahezu immer für ihre Kunden erreichbar. Denn jeder Firewall- Kunde des ITDZ Berlin hat feste Ansprechpartner, die seine technischen Voraussetzungen genau kennen. Eine kleine Sensation in Zeiten zentraler, telefonmenügesteuerter Hotlines und Call-Center. Aber genau dieser Service trägt erheblich zur Qualität der Dienstleistungen der Firewall-Admins bei. Und wenn der stellvertretender Leiter des Datenkommunikationsteam den Umgang mit Menschen - Kollegen oder Kunden - als den größten Pluspunkt an seinem Job beschreibt, ahnt man, dass diese Administratoren mehr als technisches Verständnis für ihre Aufgabe brauchen. Denn die altbewährte Administratorenweisheit nach der 99 Prozent der Fehlerquelle vor der Tastatur sitzen gilt nicht selten auch in jenen Fällen, in denen es heißt: das Internet funktioniert nicht. Doch nicht immer ist die Lösung harmlos. Und betrachtet man die stetig steigende Flut an Spammails, mit denen die Briefkästen der Verwaltungsmitarbeiter überflutet und die Server der Verwaltung belastet werden, wird der Ernst der Lage deutlich. Insgesamt gelangen täglich mehr als zehn Millionen eingehende, als auch ausgehende Mails an die Mailserver des ITDZ Berlin. Im August 2008 gingen im Durchschnitt pro Tag 10,2 Millionen Mails am zentralen Server ein. Davon wurden an der ersten Filterstufe bereits 99,6 Prozent abgewiesen. An der zweiten Stufe wurden weitere als Spams erkannt und markiert oder wegen Virenbefalls verworfen. Insgesamt waren also etwa vier Promille der eingehenden Mails nicht als Spam erkennbar, und konnten den Empfängern zugestellt werden. Die Arbeit der Administratoren ist ein ständiger Wettlauf mit Spammern und Hackern, den sie ob ihrer guten Hard- und Software sowie ihrem gut ausgebildeten Support meist gewinnen. Den Kunden des ITDZ Berlin werden die Kosten für diesen rundum Service als Betriebskosten in Rechnung gestellt. Bei Bedarf, wie beispielsweise während der sechs Wochen der WM 2006, auch 24 Stunden am Tag. Ein Aufwand der sich durchaus lohnt. Verteidigungsregeln Ohne die Mitarbeit der an das Landesnetz angeschlossenen Behörden Berlins blieben letztendlich auch 24-Stunden-Schichten wirkungslos. Denn das ITDZ Berlin sichert das Berliner Landesnetz lediglich gegen Angriffe aus dem Internet ab. Darüber hinaus ist aber jede Behörde rechtlich dazu verpflichtet, ihre Daten zu schützen und ihr eigenes lokales Netzwerk gegenüber dem Landesnetz abzusichern. Doch der Schutz der Bürgerdaten vor elektronischen Angriffen genießt leider noch nicht in allen Behörden oberste Priorität. Dabei kann das ITDZ Berlin die Institutionen der Hauptstadtverwaltung auch in diesen Fällen mit seiner Systemanalyse IT- Sicherheit unterstützen. Sie zeigen den Schutzbedarf der Daten detailliert auf und bieten Lösungsvorschläge zur Sicherung des lokalen Netzes. Foto: ktsdesign Aber auch bei einem perfekten Zusammenwirken aller angeschlossenen Institutionen bleibt der tägliche Kampf um die Sicherung des Landesnetzes spannend. Denn das Interesse von Spam-Mailern und Hackern am Netzzugang wird nicht erlahmen sondern zunehmen. Die Sicherheitsspezialisten im ITDZ Berlin sind sich dessen bewusst. Diesen Guerillakrieg können wir nur gewinnen, wenn wir gut ausgebildet, täglich trainiert und mit den besten Systemen ausgestattet sind. Aber das Wichtigste dabei ist: Ruhe bewahren! Betriebsmanager Thomas Schütze bekam jüngst zum Geburtstag eine technisch ausgefeilte Armbanduhr geschenkt: natürlich mit integriertem Pulsmesser. KATRIN DIRKSEN ITDZ Berlin, Pressestelle 3/08 5

6 ITDZ Berlin modernisiert PKI Berlin - Eine Public Key Infrastructure, kurz PKI, ist eine Sicherheitsinfrastruktur, die dazu beiträgt, die elektronische Kommunikation durch den Einsatz von Zertifikaten zu schützen. Mit einer PKI werden digitale Zertifikate ausgestellt, verteilt und geprüft. Mit diesen Zertifikaten - auch digitale Ausweise genannt - werden IT- Anwendungen wie s, Client-Server-Verbindungen oder VPN-Verschlüsselung auf einem äußerst hohen Niveau abgesichert. Nach dem Prinzip we-use-what-wesell ist die PKI seit vielen Jahren die Basis für eine sichere hausinterne Kommunikation im ITDZ Berlin. Die Produkte SNZ, BeLa-Zugang Einzelplatz, BeLa- Zugang DSL sowie viele Verfahren stützen sich auf eine PKI. Sicherer, besser und mehr Funktionen durch neue PKI Ausgehend von gestiegenen PKI-Anforderungen gerade aus dem Microsoft- Bereich zeigte sich, dass derzeitige im Einsatz befindliche PKI nicht zukunftssicher sind. Daher wurde im ITDZ Berlin eine Gegenüberstellung von PKI-Werkzeugen zur Erzeugung von Zertifikaten vorgenommen. Ergebnis der Gegenüberstellung war, dass mit einer neuen PKI mehr Funktionen abgedeckt werden können als mit einer herkömmlichen PKI. Dies gilt insbesondere für den Bereich des Active Directories (AD), wie das Windows Logon, PKI für mehrere Forests, Smart Card Anmeldung am AD oder die Integration einer Kunden- Zertifizierungsstelle innerhalb der Windows-PKI. Außerdem ist mit einer moderneren PKI das Roll-Out von Zertifikaten im ITIS-Umfeld erheblich leichter zu realisieren. Risiko von Sicherheitslücken drastisch reduziert Die PKI ermöglicht den Einsatz einer digitalen Signatur und schützt die computergestützte Kommunikation mittels Zertifikaten vor unberechtigter Einsichtnahme und Veränderung. Die Authentizität des angegebenen Kommunikationspartners kann geprüft und die Echtheit der Dokumente zweifelsfrei nachgewiesen werden. Die Möglichkeit nachzuvollziehen, wer ein Dokument unterzeichnet hat, ist gleichbedeutend mit einer persönlich geleisteten Unterschrift im 4-Augen-Prinzip und schafft die uneingeschränkte Vertrauensbasis in der fast papierlosen Dokumentation. Darüber hinaus kann der Zugriff auf vertrauliche, sensible Informationen innerhalb des IT-Betriebs sicher kontrolliert werden. Die damit verbundenen beschleunigten Prozesse erhöhen die Service-Qualität und sparen den Anwendern Zeit. Sowohl in der kostenintensiven Recherche als auch in der Abwicklung von Vorgängen. PKI seit vielen Jahren Standard bei ITDZ Berlin-Produkten Projekt Erneuerung PKI startete im zweiten Quartal 2008 Um die aktuellen BSI-Sicherheitsanforderungen erfüllen und weitere Funktion anbieten zu können, wurde die Entscheidung zur Weiterentwicklung durch Einsatz einer modernisierten PKI im ITDZ Berlin getroffen. Ziel ist es, in Zukunft die Sicherung aller gewünschten und notwendigen Funktionen über eine bestmögliche PKI anzubieten und die spätere Ablösung der gegenwärtigen PKI einzuleiten. Zu Beginn des kommenden Jahres sollen alle Zertifikate mit der neu geschaffenen PKI ausgestellt werden. Diese Wandlung ermöglicht langfristig den gestiegenen und strengen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schnell nachzukommen und gerecht zu werden. Einsatzgebiete Foto: JerryL4 IPSec SSL X.509 SmartCards Token Management Systeme Kerberos PPTP L2TP/IPSec TLS EFS S/MIME RÜDIGER SNIEHOTTA / SUSANNE HELDT / BEATRICE BENDIG Produktmanagement ITDZ Berlin 3/08 6

7 Neuer Standard vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Behörden und Verwaltungen sowie Wirtschaftsunternehmen sind hochgradig abhängig vom Funktionieren von Versorgungsnetzen. Dazu gehören nicht nur Energie-, Wasser- und sonstige Infrastrukturnetze sondern auch Informations- und Kommunikationsnetze. Durch immer stärkere Zentralisierung von Aufgaben, Geschäftsprozessen und Standorten steigt die Abhängigkeit von einzelnen spezialisierten Standorten. Die Einführung von Notfallmanagement-Prozessen ist deshalb von großer Bedeutung für die Wiederherstellung kritischer Geschäftsprozesse nach einem Notfall (Krise). Mit dem neuen BSI-Standard (Notfallmanagement) soll Verantwortlichen ein Instrumentarium zur Hand gegeben werden, um die Einführung von Notfallmanagement-Prozessen zu vereinfachen. Grundschutz. Die Neuauflage verschiebt den Blickwinkel von der reinen IT- Sicherheit zur Informationssicherheit; außerdem wurden die Standards um Datenschutzaspekte erweitert. Was wird... Neuer BSI-Standard (Notfallmanagement) Noch in der Entwurfsphase befindet sich ein neues Dokument. Mit dem BSI- Standard (Notfallmanagement) soll ein systematischer Weg aufgezeigt werden, um bei Notfällen der verschiedensten Art adäquat und effizient reagieren und die wichtigsten Geschäftsprozesse schnell wieder aufnehmen zu können. Aktuell findet sich die Version 0.9 für alle Interessenten zum Download auf den Seiten des BSI (http://www.bsi.bund.de/literat/bsi_standard/bsi-standard_100-4_v090.pdf). Bis zum 15. September 2008 waren Anwender aufgerufen, zur Optimierung beizutragen und fachliche Kommentare und Anregungen zum neuen Standard an das BSI zu senden. Außerdem will das BSI der Öffentlichkeit praxisgerechte Hilfsmittel kostenlos bereitstellen und sucht dazu Vorlagen und Beispiele, die beim Aufbau eines Notfallmanagements genutzt werden können (beispielsweise Templates für die Durchführung einer Business Impact Analyse, Risikoanalysen oder auch Leitlinien für das Notfallmanagement). Was war. Neben den Grundschutzkatalogen hat das BSI einige Standards definiert, die sich vor allem mit der Umsetzung von IT-Sicherheitsplanungen und der Methodik zu den Grundschutzkatalogen befassen. Dies waren bislang: BSI-Standard (Managementsysteme für Informationssicherheit (ISMS) BSI-Standard (IT-Grundschutz-Vorgehensweise) BSI-Standard (Risikoanalyse auf der Basis von IT- Grundschutz) Diese drei Standards wurden am in zweiter Auflage veröffentlicht und bilden die Grundlage für den nach ISO ausgerichteten IT- Wichtige Anlaufstelle zum Thema Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI) - Nach Ablauf der Eingabefrist werden diese Eingaben geprüft und ggf. eingearbeitet, so daß in absehbarer Zeit die finale Version herausgegeben werden dürfte. Voraussichtlich jedoch wird sich an dieser Version nichts Grundlegendes mehr ändern. Grund genug, den neuen Standard vorzustellen und sich näher mit seinen Inhalten zu beschäftigen. Handlungsbedarf im Normendschungel Bisher wurde das Thema Notfallmanagement im rein technisch ausgerichteten Grundschutzbaustein 1.3 Notfallvorsorge-Konzept behandelt. Damit war 3/08 7

8 aber keine Betrachtung eines Prozessregelkreises verbunden. Deshalb sah es das BSI als erforderlich an, für diesen Bereich mit dem Standard angemessene Vorgaben zu entwickeln, die sich in die Standards und integrieren. Ein weiterer Grund dürfte die Tatsache sein, das nach Untersuchungen des TÜV und auch anderer Organisationen nur ca. 15% aller befragten Unternehmen überhaupt über einen Notfallplan - geschweige denn ein Notfallmanagement - verfügen. Vergleichbare Standards gibt es bislang nur in den USA (FEMA NFPA 1600: nims/fs_standards_ pdf) und Großbritannien (BS Business Continuity Management : Erwähnung findet das Thema außerdem in ITIL, den Public Available Specification 77 und NIST Der britische Standard BS25999 diente für die Ausgestaltung des Notfallmanagements zwar als Basis, aber das BSI versuchte, die Stärken der verschiedenen bereits bestehenden Standards zu übernehmen und Synergien zu nutzen. Man erreichte dabei eine vollständige Kompatibilität mit dem britischen Standard BS Allerdings beschreiben die Briten lediglich abstrakte Vorgehensweisen - der BSI-Standard jedoch gibt konkrete Hinweise zur Umsetzung und scheint dadurch als Hilfsmittel geeigneter. Inhalte Für die Gestaltung eines Notfallmanagements ist ein systematisches Vorgehen aufbauend auf dem IT- Sicherheitsprozeß notwendig. Dazu beschreibt der BSI-Standard folgende Phasen zum Aufbau und Betreiben des Notfallmanagements: Planung und Konzeption der Notfallvorsorge Erstellung eines Notfallhandbuchs zur Notfallbewältigung Etablierung und Pflege einer Notfallmanagement-Kultur Planung und Durchführung von Übungen und Tests Permanente Aufrechterhaltung des Notfallmanagements Planung/Konzeption Zur Einführung sollte eine Leitlinie (Policy) zum Notfallmanagement erstellt werden, die von der Unternehmensleitung initiiert und freigegeben wird. Die Geschäftsführung sollte für Etablierung und Aufrechterhaltung des Notfallmanagements verantwortlich sein. Dann müssen weitere organisatorische Voraussetzungen geschaffen werden, indem Rollenbeschreibungen erstellt und Verantwortliche benannt werden. Voraussetzung für die weitere Einführung des Notfallmanagements ist außerdem eine Business-Impact-Analyse (BIA), die weit über die Schutzbedarfsfeststellung des BSI hinaus geht. Ziel dabei ist es, kritische Geschäftsprozesse und zugehörige Ressourcen und single points of failure zu identifizieren. Damit sind Ressourcen gemeint, deren Ausfall dazu führt, daß Geschäftsprozesse nicht mehr durchgeführt werden können. Einer der wichtigsten Punkte dabei ist die Ermittlung der maximal tolerierbaren Ausfallzeiten, die sich aus den zu erwartenden monetär zu beziffernden Schäden ergeben. Auch vertragliche Anforderungen (SLAs) oder zu erwartender Image-Verlust können als Faktoren bei der Berechnung hinzu gezogen werden. An die BIA schließt sich eine Risikoanalyse an. Festgehalten wird dabei, welche Risiken bzw. Schwachstellen und Bedrohungen auf die als kritisch erkannten Ressourcen einwirken. Ihnen muß mit Notfallvorsorgestrategien und maßnahmen soweit begegnet werden, dass Risiken und Bedrohungen als tragbar gelten können. Zur Umsetzung der Strategie werden konkrete Maßnahmen in einem Notfallvorsorgekonzept beschrieben und umgesetzt. Notfallhandbuch Foto: Sean Gladwell Ein Notfallhandbuch ist zur schnellen Bewältigung von Krisen zu erstellen. Im BSI- Standard findet sich ein Beispiel für die Strukturierung eines Notfallhandbuchs und Angaben darüber, welche Inhalte mindestens zu beschreiben sind. Im folgenden die Kerninhalte: 3/08 8

9 Krisenmanagement: Welche Aufgaben hat ein Krisenstab? Alarmierungsplan und Meldewege: Welches Mitglied eines Notfallteams kann über welche Medien alarmiert werden? Wiederanlauf: Welche Maßnahmen müssen umgesetzt werden, um in den Notbetrieb zu gelangen? Notbetrieb: Wie wird der Notbetrieb kritischer Geschäftsprozesse gesichert? Wiederherstellung: Welche Maßnahmen müssen umgesetzt werden, um wieder in den Normalbetrieb zu kommen? Rückkehr in den Normalbetrieb: Ab welchem Zeitpunkt kann mit welchen Schritten wieder in den Normalbetrieb zurückgekehrt werden? Notfallmanagement-Kultur Wie andere unternehmensübergreifende Themen auch (z.b. Arbeits- oder IT- Sicherheit) sollte das Notfallmanagement fester Bestandteil der Unternehmenskultur werden. Der BSI-Standard zeigt dazu Maßnahmen zur Umsetzung wie beispielsweise Sensibilisierung und Schulung der Mitarbeitenden auf. Übungen und Tests Übungen und Tests sollten durchgeführt werden, um die Wirksamkeit der festgelegten Maßnahmen und Verfahren zur Notfallbewältigung festzustellen. Dies gilt sowohl für technische als auch für organisatorische Maßnahmen. Auch das Notfallmanagementteam wird durch das Üben von Abläufen geschult. Im BSI- Standard finden sich Angaben darüber, wie Übungspläne- und Konzepte strukturiert sein sollten. Auch die verschiedenen Testarten und deren inhaltliche Ausgestaltung werden beschrieben. Aufrechterhaltung des Notfallmanagements Das Notfallmanagement wird nach dem PDCA-Zyklus (Plan-Do-Check-Act) einer regelmäßigen Revision unterzogen. Dazu zählt die Aktualisierung der Dokumente ebenso wie die Überprüfung und Pflege von Notfallvorsorgemaßnahmen. Zusätzlich sollte eine regelmäßige Bewertung der Angemessenheit des Notfallmanagements erfolgen, um Verbesserungspotential erkennen und umsetzen zu können. Auch Wirtschaftlichkeitsbetrachtungen dürfen nicht fehlen. Auf die Plätze Das BSI konkretisiert und differenziert mit dem neuen Standard die sich aus der Grundschutz-Vorgehensweise ergebenden Aussagen zum Thema Notfallmanagement. So kann jede Institution in die Lage versetzt werden, bei vollständiger Umsetzung des Standards und der korrespondierenden Bausteine der Grundschutzkataloge ein effizientes Notfallmanagement aufzubauen. KAI OSTERHAGE IT-Sicherheitsbeauftragter ITDZ Berlin Sicherheit als Teamaufgabe Düsseldorf - In allen Unternehmen haben die Sicherheits beauftragten die gleiche Mission: die geschäftskritischen Posten wie Daten und Vermögen und anderes zu schützen. Ob es nun darum geht, dass nur autorisierte Mitarbeiter ein Gebäude betreten oder auf ein Netzwerk zugreifen, sowohl beim physischen als auch beim logischen (System-)Zugang dreht sich alles darum, die richtigen Personen reinzulassen. Und nur die Richtigen. Beide Bereiche verfolgen dasselbe Ziel, nähern sich diesem aber auf unterschiedlichem Weg und in den meisten Unternehmen auch von unterschiedlichen Stockwerken, sprich Abteilungen, aus an. Marina Walser, Director Identity & Security Management bei Novell Central Europe, untersucht, ob die strikte Trennung noch zeitgemäß ist. Das externe Beraterteam, das drei Monate lang beim Kunden ein- und ausgegangen ist, hat das Projekt erfolgreich abgeschlossen. Der Projektleiter gibt dem IT-Verantwortlichen im Unternehmen Bescheid, dieser löscht umgehend die Zugriffe der Berater auf das firmeninterne Netzwerk und andere vertrauliche Daten. Foto: Thomas Perkins Eigentlich ist alles bestens und zu einem sauberen Abschluss gebracht. Aber was ist eigentlich mit den Keykarten? Sind die alle zurückgegeben bzw. gesperrt worden? Mitnichten. Die Abteilung, die für die Netzwerkzugänge, das heißt den logischen Zugriff, zuständig ist, hat nicht automatisch der Abteilung für physischen Zugriff Bescheid gegeben. Der Beraterfirma wird natürlich keinerlei böse Absicht unterstellt, wenn nicht alle Keykarten am letzten Projekttag auftauchen. Schließlich sind sie für ihre Arbeit gut bezahlt worden und werden die Kundenbeziehung auf keinen Fall gefährden. Eine mitgenommene Keykarte lässt ohnehin noch längst nicht auf 3/08 9

10 Hintergedanken schließen - gerade Berater haben nicht selten eine wahre Sammlung an Hotelzimmer-Keykarten, die sie aus Versehen eingepackt haben. Kein Grund zur Besorgnis, die sind ohnehin wert- und nutzlos und werden dann einfach bei nächster Gelegenheit entsorgt. Beim Verlassen eines Hotels beziehungsweise der Begleichung der Rechnung wird die Keykarte sofort gelöscht. Das kann zwar unpraktisch sein, wenn der Gast etwas im Zimmer vergessen haben sollte und noch einmal dorthin zurück möchte, ist aber sicherheitstechnisch äußerst lobenswert. So einfach geht das in einem Unternehmen leider nicht. Eine Keykarte ist oftmals mit den Daten des Nutzers verknüpft, damit auch nachgewiesen werden kann, wann dieser sich wo aufgehalten hat und warum er zum Beispiel gerne mal nachts das Büro aufsucht. Die aus Versehen eingesteckte Zutrittskarte für das Unternehmen ist beim seriösen Dienstleister natürlich eigentlich in guten Händen. Was aber, wenn einer der Berater auf einmal die Firma wechselt und noch eine Rechnung offen hat - ob nun mit dem Kunden oder dem eigenen Arbeitgeber. Auf jeden Fall ist eine Sicherheitslücke entstanden. Diese Art von Lecks entstehen nicht nur durch die Einbeziehung Externer. Mal angenommen, ein Mitarbeiter verlässt das Unternehmen, gibt seine physische Zutrittskarte ordnungsgemäß ab und probiert aus Spaß aus, ob er vom privaten Rechner von zuhause aus noch immer auf das Unternehmensnetzwerk zugreifen kann - in vielen Fällen kann er. Das sollte nicht mal im Spaß möglich sein. In den meisten Unternehmen gibt es nach wie vor unterschiedliche Systeme, in denen der Status eines Mitarbeiters festgehalten ist und die darauf aufbauend Aktionen auslösen wie Karte sperren, Zugang löschen, Zahlungen einstellen etc. Diese Trennung der physischen und der IT-Sicherheitsabteilungen in Unternehmen ist traditionell gewachsen. Zunehmende Risiken und Gefahren sowie staatliche Vorschriften verlangen aber heute die enge Zusammenarbeit der beiden Abteilungen. Vorreiter bei der Zusammenführung sind Institutionen und Organisationen aus dem öffentlichen Bereich, die Industrie zieht langsam nach. Die Kombination der physischen und der digitalen Sicherheitswelt hat viele Vorteile: Der physische Zugang zu einem Gebäude kann eng mit dem logischen Zugriff auf Computer und Netzwerkressourcen gekoppelt werden. Unternehmen können so Sicherheitsrisiken minimieren und gleichzeitig Geld und Zeit sparen. Grundlage dafür ist ein Identitätsmanagement-System, das mit einer Plattform für die Kontrolle von physischem Zugriff integriert ist. Damit können Rollen verwaltet werden und die richtigen Personen für die jeweiligen Zugriffe und Zugänge identifiziert werden. Auf diese Weise kann eine einheitliche Sicherheitsrichtlinie für das gesamte Unternehmen ausgerollt werden. Sicherheitssilos gehören damit der Vergangenheit an. Identitätsinformationen müssen zudem nicht mehr manuell in verschiedenen Systemen gepflegt werden. Nicht zuletzt bei Firmenzusammenschlüssen und -übernahmen, die meist mit schnellen Mitarbeiterveränderungen einhergehen, wird dadurch Zeit gewonnen. Für die manuelle Pflege in verschiedene Systeme bleibt da keine Zeit. Und zudem haben alle Sicherheitsmitarbeiter auf diese Weise eine zentrale Anlaufstelle für Nutzerinformationen aller Art und Abteilungen. Foto: doug Olson Es ist natürlich nicht damit getan, die beiden Abteilungen im Gebäude auf eine Etage ziehen zu lassen und darauf zu hoffen, dass so die Zusammenarbeit verbessert wird. Grundlage ist eine Kombination der Plattform für Zugriffskontrolle mit einer Identitätsmanagement-Lösung. So kann sichergestellt werden, dass der Zugriff sowohl auf physische als auch auf logische Ressourcen mit der Nutzeridentität verknüpft ist und nur autorisierte Personen tatsächlich Zugriff erhalten. Weit vorne auf der Agenda sollte die Automatisierung der Nutzer-Provisionierung stehen. Die Abteilungen werden dadurch von der manuellen Pflege entlastet, sparen Zeit und Geld ein. Dabei ist es nicht erforderlich, beide Abteilungen komplett ineinander zu integrieren. Jede Abteilung hat ihre Berechtigung im Unternehmen. Die Gebäudesicherheit ist schließlich nicht nur für die Zutrittssysteme verantwortlich und die IT- Security nicht nur für die Provisionierung der Mitarbeiter. Im Team kann aber mit weniger Aufwand gewährleistet werden, dass wirklich nur die richtigen Personen reinkommen - von der Eingangstür bis zur Computertastatur. (PB) 3/08 10

11 IT-Sicherheit oft von innen bedroht Ergebnisse der Studie IT-Security 2008 München - In der IT-Security 2008 haben InformationWeek und research+consulting, die Marktforschungsabteilung des Verlags CMP-WEKA, unter anderem die Herkunft von Sicherheitsverstößen in Unternehmen untersucht. Eine oft unterschätzte Art der Bedrohung zählt zu den größten Gefahrenquellen: die Mitarbeiter. Dabei zeigen die Ergebnisse bei der Frage nach der Herkunft von Sicherheitsverstößen ein gewohntes Bild. Die befragten IT-Verantwortlichen sehen in der Bedrohung von außen die größte Gefahr. Sie schätzen, dass die Angriffe auf Unternehmen zu 24,9 Prozent von innen und zu 75,1 Prozent von außen kommen. Doch bei der Frage nach der Art der Sicherheitsverstöße und den Angriffsmethoden ergibt sich Erstaunliches: Unbeabsichtigte Fehlkonfiguration/ menschliches Versehen ist hier die zweithäufigste Antwort. Fast die Hälfte der Befragten (44,9 Prozent) gab an, solche Verstöße von innen registriert zu haben. Von der äußeren Bedrohung durch Computerviren, Würmer, Trojanische Pferde und Spam sind 63,4 Prozent (häufigste Antwort) betroffen. Es folgen missbrauchte -Adressen (von 35,9 Prozent genannt), Phishing (20,2 Prozent) und externe Denial-of- Service-Attacken (15,4 Prozent). Menschliche Fehleinschätzungen, so zeigen die Daten, sind auch die häufigste Ursache für das Scheitern von Sicherheitsinvestitionen und -projekten in Unternehmen. Allerdings steht hier nicht mehr wie im Jahr zuvor das mangelnde Risikobewusstsein der Geschäftsführung beziehungsweise der Budgetentscheider als häufigste Antwort an der Spitze (von 29,3 Prozent der Befragten genannt), sondern das der Mitarbeiter und Anwender (von 33,1 Prozent genannt). Im Jahr 2007 hatten noch 33,4 Prozent der Befragten das mangelnde Risikobewusstsein der Unternehmensführung als Grund für das Scheitern von Sicherheitsmaßnahmen angegeben und nur 27,4 Prozent das der Mitarbeiter. Vielen Unternehmen fehlt es offenbar nach wie vor an finanziellen Mitteln für eine bessere Datensicherheit: 28,8 Prozent der Befragten gaben an, schlicht über kein Budget für Sicherheitsinvestitionen und -projekte zu verfügen. In der Studie IT-Security untersuchen Information Week und research+ consulting jährlich Sicherheitsverstöße und die Entwicklung der IT-Sicherheit in Unternehmen. An der IT-Security 2008 haben 468 IT-Manager und Sicherheitsverantwortliche von kleinen, mittelständischen und Großunternehmen teilgenommen. (OTS) Professionelle Datenspione wühlen zuerst im Müllcontainer, ehe sie in die IT-Anlage einbrechen IT-Angriffe aus dem Müll Bonn - Müll ist für professionelle Datenspione pures Gold. In den Müll containern von Unternehmen finden sie nicht selten die Eintrittskarten zur Datenverarbeitung des Betriebs, warnt der IT-Informationsdienst mit Sicherheit des Fachverlags für Computerwissen. Aufkleber auf achtlos weggeworfenen Hardwareverpackungen verraten Serien- und Servicenummern, mit denen beim Hersteller problemlos Geräte- und Konfigurationseinzelheiten abgerufen werden können. Handbücher aus dem Müll sprechen Bände darüber, welche Hardund Software eingesetzt wird. Angreifer finden so gezielt Komponenten mit bekannten Schwachstellen, ohne auf die Systeme selber zuzugreifen. Zudem sind CDs, defekte USB-Sticks und ausrangierte Festplatten wahre Fundgruben für Wirtschaftsspione, die hier binnen Minuten auch gelöschte Dateien wieder sichtbar machen. Foto: Stephen VanHorn Das systematische Durchforsten von Müll Trashing oder Dumpster Diving genannt ist nach Erkenntnissen von mit Sicherheit (www.mit-sicherheit.de) Bestandteil der Informationsrecherche eines professionell vorbereiteten Angriffs 3/08 11

12 auf eine IT-Anlage. Anfällig für Trashing-Angriffe sei praktisch jedes Unternehmen, das keine eindeutigen Regeln für den Umgang mit vermeintlichem Müll erlässt. Geschieht dies nicht, könne sogar ein kleiner Post-It-Zettel mit entsprechenden Notizen die IT-Sicherheit gefährden, vorbei an Firewalls und anderen technischen Abschottungsmaßnahmen. (PB) Fast vier Millionen Opfer von Computerund Internet- Kriminalität Laut der Befragung nutzen knapp 80 Prozent aller 72 Millionen Deutschen über 14 Jahre privat oder beruflich einen Computer. Zwei Prozent der Befragten gaben an, Viren hätten ihren Computer beschädigt. Je ein Prozent aller Nutzer wurden Opfer bei einer Online-Auktion oder beim Online-Banking. Drei Prozent gaben Schäden durch sonstige Umstände an, also beispielsweise durch unseriöse Internet-Dialer. Eine gute Sicherheitsausstattung ist besonders wichtig beim Umgang mit persönlichen Daten, etwa beim Internet-Banking oder Online- Shopping. Ein modernes Anti-Viren-Programm und eine so genannte Firewall, die den Rechner vor schädlichen Dateien aus dem Netz schützen, müssen vor der ersten Web-Sitzung installiert werden, sagte Kempf. Auch die Verschlüsselung wichtiger privater Daten auf der Festplatte wie auch die von s mit vertraulichen Inhalten sollten gängige Praxis sein. Die Befragung ergab jedoch, dass Sicherheitsprogramme noch immer nicht zum Standard gehören. Zwar gaben 83 Prozent aller User an, ein Virenschutzprogramm auf ihrem privaten Rechner installiert zu haben. Aber nur 67 Prozent nutzten eine Firewall, lediglich 28 Prozent ein Verschlüsselungsprogramm. 7 Prozent der Nutzer gaben an, keines dieser Programme zu verwenden, 4 Prozent machten keine Angaben. Berlin - Fast vier Millionen Deutsche sind schon einmal Opfer von Computer-Kriminalität geworden. Sieben Prozent aller Computernutzer ab 14 Jahre haben bereits einen finanziellen Schaden beispielsweise durch Viren, bei Online-Auktionen oder Online-Banking erlitten. Das teilte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) im Juli 2008 in Berlin mit. Grundlage der Angaben ist eine repräsentative Umfrage des Meinungsforschungsinstituts Forsa im Auftrag des BITKOM. Bei gut 90 Prozent aller Computernutzer ist noch nie ein Schaden entstanden. Dennoch dürfen wir mit dieser scheinbar geringen Schadensquote nicht zufrieden sein. Die absolute Zahl der Geschädigten ist einfach viel zu hoch, sagte Prof. Dieter Kempf, Mitglied im BITKOM-Präsidium. Wir müssen weiterhin regelmäßig die Anwender über technische Schutzmöglichkeiten und richtiges Verhalten im Netz aufklären. Auffällig: Frauen nutzen diese Programme deutlich seltener als Männer. Surfer ohne Sicherheitsprogramme bringen sich und andere in Gefahr. Ist der eigene Rechner mit Viren infiziert, sind besonders die Computer von Freunden und Bekannten einem erhöhten Risiko ausgesetzt, sagte Kempf, der auch Vorstandsvorsitzender des Vereins Deutschland sicher im Netz ist (www.sicher-im-netz.de). Dort haben sich große Unternehmen, Vereine und Branchenverbände zusammengeschlossen, um einen messbaren und praktischen Beitrag für mehr IT-Sicherheit für Verbraucher und mittelständische Unternehmen zu leisten. Schirmherr ist Bundesminister Dr. Wolfgang Schäuble. (PM) Moderne Perspektiven für die Verwaltung. Informationstechnik (IT) und Telekommunikation (TK) aus einer Hand, Lösungen auf höchstem Niveau: Das IT-Dienstleistungszentrum Berlin (ITDZ Berlin) ist der innovative Spezialist für die öffentliche Verwaltung. 3/08 12

13 Zahl der Phishing-Opfer erreicht Höhepunkt Berlin - Deutlich mehr Internetnutzer sind im vergangenen Jahr Opfer von Passwort-Betrügern geworden. Die Zahl der Phishing-Fälle beim Online-Banking ist erneut stark gestiegen um 25 Prozent. Das geht aus einer Hochrechnung des Hightech-Verbandes BITKOM hervor, die sich auf die neuesten Daten der Landeskriminalämter stützt. Bundesweit hoben Kriminelle in mehr als Fällen rund 19 Millionen Euro von Konten der Geschädigten ab. Die Schadenssumme liegt um ein Viertel höher als Der Geheimzahlen- Klau hat durch immer raffiniertere Betrugsmethoden seinen bisherigen Höhepunkt erreicht, sagte BITKOM- Präsidiumsmitglied Prof. Dieter Kempf bei der Vorstellung der Erhebung. Die meisten Opfer melden Bayern, Baden- Württemberg und Berlin ist erstmals seit Jahren ein Rückgang der Phishing-Zahlen möglich. Die Daten für das erste Halbjahr lassen erwarten, dass die Opferzahlen deutlich sinken, gab Kempf bekannt. Da noch nicht alle teilnehmenden Bundesländer Zahlen für dieses Jahr genannt haben, handelt es sich aber um eine vorläufige Prognose. Statistisch gesehen ist sogar eine Halbierung der Fallzahlen denkbar. Auch die durchschnittliche Schadenshöhe nimmt demnach ab: Waren es 2006 und im vergangenen Jahr noch rund Euro, so fehlen dieses Jahr nach jeder illegalen Überweisung im Schnitt etwa Euro. In manchen Fällen gelingt es, betrügerische Überweisungen zu stoppen oder das Geld zurückzubuchen. Im Wettrüsten mit den Kriminellen stehen Verbraucher, Banken und die IT Branche wieder etwas günstiger da, kommentiert Prof. Kempf die positive Entwicklung. Es trägt offensichtlich Früchte, dass die Wirtschaft immer bessere Sicherheitsmaßnahmen anbietet und die Nutzer umfassend informiert. Dem BITKOM reichen allerdings die rechtlichen Mittel gegen den Online-Betrug nicht: Bisher ist der Kontodaten-Klau nicht eindeutig verboten die Polizei kann meist erst aktiv werden, wenn bereits ein Schaden vorliegt. Schon der Versuch muss hart bestraft werden, fordert BITKOM-Präsidiumsmitglied Kempf. Wir brauchen dringend ein belastbares Gesetz gegen Phishing. Die Zahl der Betrugsversuche hat auch international zugenommen: Die Anti- Phishing-Initiative APWG registrierte in ihrer jüngsten Statistik vom Dezember 2007 weltweit über Attacken pro Monat. Die Betrüger unterhielten rund falsche Bank-Webseiten; die meisten davon in den USA (33 Prozent), China (22 Prozent) und Russland (9 Prozent). Lediglich drei Prozent der gefälschten Homepages waren in Deutschland registriert. Schärfere Gesetze sind deshalb nur eines von mehreren Mitteln gegen Phishing, erklärt Prof. Kempf. Am wichtigsten ist es, die Maschen der Kriminellen zu kennen und die jeweils neuesten Schutzmethoden zu nutzen. Foto: Archiv Ein Grund für die bislang steigende Zahl der Phishing-Opfer sind immer effizientere Betrugsmethoden. Die meisten Betrüger setzen nicht mehr auf einfache s mit Links zu gefälschten Bank-Seiten, wo arglose Nutzer selbst ihre Kontodaten eingeben. In mindestens drei von vier Fällen, so eine BITKOM-Schätzung, schicken Kriminelle per ein Trojanisches Pferd ein Schadprogramm, das Geheimzahlen im Hintergrund ausspäht und weiterleitet. Eine andere Art von Schadprogrammen leitet die Nutzer beim Online-Banking heimlich auf gefälschte Seiten weiter. Nicht nur die Betrüger, auch die Banken haben indes aufgerüstet: Transaktionsnummern (TANs) sind zumeist nicht mehr beliebig einsetzbar, sondern an weitere Sicherheits-Hürden gekoppelt. Manche Kreditinstitute erhöhen den Schutz mit Kartenlesegeräten. Zukünftig könnten Überweisungen durch den elektronischen Personalausweis abgesichert werden. Er ist für 2010 geplant und soll dank eines Chips auch Web-Dienste sicherer machen. 55 Prozent der Internet-Nutzer würden den digitalen Ausweis beim Online-Banking einsetzen, ergab eine repräsentative Umfrage von forsa und BITKOM. Zwar erstatten viele Banken einen Phishing-Schaden, wenn der Nutzer nicht grob fahrlässig gehandelt hat. Ob die Kunden einen Anspruch darauf haben, ist in 3/08 13

14 Der direkte Draht Berlin-Telefon 900 MIT 900 DIREKTE INFORMATIONEN ZU ALLEN LEBENSLAGEN Eine höhere Kundenzufriedenheit bei den Bürgern und den Mitarbeitern der Berliner Verwaltung das ist das Ziel der Call-Center-Lösung Berlin-Telefon. Mit einem einfachen telefonischen Zugang zu umfassenden Informationen und Dienstleistungen werden Anfragen über die Rufnummer 900 schnell und kompetent beantwortet. Das ITDZ Berlin ist dabei für den telefonischen Erstkontakt mit dem Bürger über sein Call-Center verantwortlich. Weitere Informationen zum IT-Dienstleistungszentrum Berlin: Internet Intranet Moderne Perspektiven für die Verwaltung. 3/08 14

15 der Rechtsprechung aber nicht eindeutig. Vorsorge ist deshalb unverzichtbar. Mit ein paar Grundregeln lässt sich das Risiko leicht minimieren, so Prof. Kempf. Dann ist Online-Banking eine sehr sichere Dienstleistung, die zu Recht hohe Akzeptanz genießt. Insgesamt nutzen rund 22 Millionen Deutsche die Internet-Kontodienste ihrer Bank. Das geht aus Daten der europäischen Statistikbehörde Eurostat hervor und entspricht 35 Prozent der Einwohner zwischen 16 und 74 Jahren. Im EU-Vergleich liegen die Deutschen beim Internet-Banking auf Platz 7. Weit vorn sind Finnland und die Niederlande dort nutzen jeweils zwei Drittel der Bevölkerung Online-Bankdienste. Der BITKOM nennt die wichtigsten Anti-Phishing-Tipps: 1. Gesundes Misstrauen bei s Banken bitten ihre Kunden nie per E- Mail, vertrauliche Daten im Netz einzugeben. Diese Mails sind immer gefälscht: Am besten sofort löschen. Das gleiche gilt für dubiose s von Unbekannten vor allem, wenn eine Datei angehängt ist. Dahinter könnte ein Schadprogramm stecken, zum Beispiel ein Phishing-Trojaner. Solche verdächtigen Dateien auf keinen Fall öffnen! Auch dann nicht, wenn in der mit einer Kontosperre gedroht wird. Solche Einschüchterungen zählen zum Arsenal von Betrügern, um Bankkunden unter Druck zu setzen. PC-Nutzer sollten Drohungen ignorieren und Phishing- Mails nie beantworten. 2. Den Computer vor Schädlingen schützen Eine gute Sicherheitsausstattung ist entscheidend. Ein Anti-Viren-Programm und eine so genannte Firewall, die den PC vor schädlichen Dateien aus dem Netz schützen, müssen vor der ersten Web-Sitzung installiert werden. Für diese Programme und das Betriebssystem des PCs werden regelmäßig Aktualisierungen angeboten. Nutzer sind gut beraten, die Updates umgehend zu installieren am besten automatisch. Öffentliche Computer oder Internet- Cafés sind für Bankgeschäfte wenig geeignet. 3. Vorsicht beim Aufruf der Bank- Webseite Beim Online-Banking sollte man die offizielle Adresse der Bank immer direkt eingeben oder über eigene Lesezeichen (Favoriten) aufrufen. Maßgeblich ist die Adresse, die die Bank in ihren offiziellen Unterlagen angibt. Die Verbindung zum Bankcomputer muss verschlüsselt sein. Das ist erkennbar an den Buchstaben https in der Web-Adresse und einem Schloss- oder Schlüssel-Symbol im Internet-Programm (Browser). Zukünftig erkennen Verbraucher sichere Webseiten auch an einer grün hinterlegten Adresszeile, wenn sich der Betreiber vorab einer unabhängigen Prüfung unterzogen hat. 4. Moderne Transaktions-Verfahren nutzen Für Überweisungen und andere Kundenaufträge sind Transaktionsnummern (TANs) nötig. In den Anfängen des Online-Bankings konnten die Nutzer einen solchen Code aus einer Liste frei wählen. Sicherer ist das itan-verfahren, bei dem die Codes nummeriert sind. Ein Zufallsgenerator der Bank bestimmt, welche TAN aus der Liste eingegeben werden muss. Noch weniger Chancen haben Kriminelle beim mtan-verfahren: Die Transaktionsnummer wird dem Kunden aufs Handy geschickt und ist nur wenige Minuten gültig. Weitere aktuelle Schutzverfahren sind etan und HBCI, bei denen der Kunde als Zusatzgeräte einen TAN-Generator oder ein Kartenlesegerät nutzt. PC-Nutzer sollten ihre Bank fragen und möglichst auf die modernsten Verfahren umstellen. 5. Mit Geheimzahlen richtig umgehen Passwort (PIN) und Transaktionsnummern nicht auf dem PC speichern. Auch eine automatische Speicherung im Internet-Programm (Browser) ist riskant. Ein frei wählbares Passwort fürs Online- Banking sollte mindestens acht Zeichen lang sein und möglichst aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Fürs Online-Banking unbedingt ein separates Passwort wählen keines, das auch für andere Dienste im Web genutzt wird. Empfehlenswert ist auch, die PIN regelmäßig zu ändern. 6. Falls es zu spät ist Schadensbegrenzung Nicht immer ist das Geld sofort weg, wenn Kriminelle eine Sicherheitslücke ausgenutzt haben. Opfer sollten zuerst die Bank alarmieren: Wenn eine Phishing-Überweisung nicht lange zurückliegt, kann sie manchmal noch gestoppt oder rückgängig gemacht werden. Entsteht doch ein finanzieller Schaden, unbedingt Anzeige bei der Polizei erstatten. Das ist nötig, um Geld von der Bank zurückzubekommen. Falls der Kunde nicht grob fahrlässig gehandelt hat, zeigen sich viele Banken kulant. Zur Methodik der BITKOM-Erhebung: Erfragt wurden die Zahlen der Phishing-Fälle, in denen illegale Banktransfers stattgefunden haben, sowie die dabei geflossenen Summen. Quelle sind alle teilnehmenden Landeskriminalämter. Es sind Daten zu insgesamt elf Bundesländern vorhanden, die für rund 90 Prozent der deutschen Bevölkerung stehen, sowie eine Hochrechnung für ganz Deutschland. (PM) Warnung vor Passwortklau beim Online-Einkauf Hannover - Tausende von Ser vern machen es Kriminellen leicht, wichtige Daten wie Passwörter oder Kreditkartennummern mitzulesen. Dazu gehörte bis vor einiger Zeit auch das Telekom-Bezahlsystem T-Pay. Mit dem kleinen Programm SSL- Wächter kann man das Risiko beim Online-Einkauf aber wieder minimieren, so das Computermagazin c t. Die Redaktion hat das Tool selbst entwickelt und stellt es in der Ausgabe 15/08 vor. 3/08 15

16 Der c t-ssl-wächter warnt den Nutzer, wenn er eine vermeintlich sichere Webseite ansurft, die mit einem schwachen Zertifikat ausgestattet ist. Diese Seite könnte gehackt sein. Das Programm bietet an, die Verbindung im Zweifelsfall zu kappen. Zertifikate sind eine Art Identitätsnachweise, die normalerweise sicherstellen, dass man sich tatsächlich auf der gewünschten Seite befindet und eine verschlüsselte, also sichere Verbindung besteht. Profis sind durchaus in der Lage, den Schlüssel schwacher Zertifikate zu ermitteln und die Anwender anschließend auf gefälschte Webseiten zu lotsen, die auch das für Sicherheit stehende Schloss im Browser anzeigen. Bis in den Juni 2008 war selbst die Telekom-Webseite betroffen: Betrüger hätten einen Server aufsetzen können, der sich als T- Pay-System ausgibt und diese Identität dem Browser über sein Zertifikat beweist. Inzwischen hat T-Pay das Zertifikat widerrufen und ein neues eingesetzt. Wer das widerrufene Zertifikat allerdings hat, kann noch immer sein Unwesen damit treiben, denn es läuft erst am 11. November ab. Im Mai und Juni 2008 waren bei einem Test von rund Servern zehn Prozent mit unsicheren Zertifikaten ausgestattet. Schuld an der Misere sind bestimmte Linux-Systeme, die über anderthalb Jahre hinweg schwache Schlüssel für Zertifikate erstellt haben. Will man das Problem in den Griff bekommen, muss man am Browser ansetzen, so c t-redakteur Jürgen Schmidt. Genau das tut der SSL-Wächter. Er gleicht das Zertifikat mit einer Liste von schwachen Zertifikaten ab. Dabei kann es unter Umständen zu kurzen Verzögerungen beim Aufbau einer Webseite kommen. Der SSL-Wächter eignet sich für den Internet Explorer, Outlook Express und andere Windows-Programme. Für den Firefox gibt es bereits eine ähnliche Erweiterung, entstanden aus einer Privatinitiative. Der c t-ssl-wächter findet sich online unter ct/projekte/sslwaechter/. (PM) Europäische Kommission fördert Symantec-Projekt zum Schutz kritischer Infrastrukturen vor Cyber-Kriminalität München - Symantec erhält von der Europäischen Kommission Projektgelder für die Entwicklung eines Standards zum Austausch von Sicherheitsinformationen auf nationalem und europäischem Level. Der Information Assurance Messaging Standard soll von Mitgliedsstaaten und nationalen Sicherheitseinrichtungen für den sicheren Austausch sensibler Informationen genutzt werden. Der von Symantec in enger Zusammenarbeit mit den EU-Mitgliedsstaaten und nationalen Computer Emergency Response/Readiness Teams (CERTs) definierte Standard wird den sicheren Austausch von Nachrichten über Schwachstellen, Bedrohungen, Störfälle und erfolgreiche Praxisbeispiele ermöglichen. Daneben sind auch kritische Infrastrukturen in die Entwicklung des Sicherheitsstandards involviert. Als kritische Infrastrukturen bezeichnet man Institutionen und Einrichtungen, bei denen ein Ausfall oder eine Beeinträchtigung zu Störungen der öffentlichen Sicherheit, Versorgungsengpässen oder anderen empfindlichen Auswirkungen führen würde. Sichere elektronische Infrastrukturen bilden heute die Basis moderner Gesellschaften und einer stabilen Wirtschaft, sagt Andreas Zeitler, Vice President und Regional Manager Zentraleuropa bei Symantec. Diese Netzwerke reichen über die Grenzen einzelner Unternehmen und Organisationen, aber auch über nationale und europäische Grenzen hinaus. Daher ist die Absicherung kritischer Infrastrukturen von signifikanter Bedeutung. Das Projekt umfasst drei Phasen: Analyse existierender Standards, Interviews mit ausgewählten CERTs und nationalen Behörden Definition eines Standards Verbreitung der Ergebnisse: Auf einer eigenen Konferenz wird Symantec die Ergebnisse der Europäischen Kommission, Delegierten der Mitgliedsstaaten, nationalen Sicherheitsbehörden sowie nationalen CERTs vorstellen Das Projekt ist Teil des Europäischen Programms für den Schutz kritischer Infrastrukturen (EPCIP) im Rahmen der Kampf gegen Kriminalität und Terrorismus -Kampagne der Europäischen Kommission. Jedes Jahr bietet die Kommission Zuschüsse für die Gründung von Pilotprojekten, um die Kooperation von kritischen Infrastrukturen europaweit zu fördern. Außerdem soll die Aufmerksamkeit für Sicherheitslücken, Risiken und adäquaten Gegenmaßnahmen gestärkt werden. Symantec hat einen einzigartigen Überblick über die globale Bedrohungslandschaft, da das Unternehmen die Daten von Sensoren aus 180 Ländern sammelt. Außerdem verfügt Symantec über eine Datenbank, die Informationen zu mehr als Sicherheitslücken im Zusammenhang mit Technologien von Anbietern enthält. Zusätzlich wertet das Unternehmen über 2 Millionen Honeypot -Accounts aus, die - Nachrichten aus 20 verschiedenen Ländern empfangen. Auf diese Weise können Spam- und Phishing-Aktivitäten weltweit gemessen werden. Laut Symantecs aktuellem Internet Security Threat Report (Ausgabe XIII, April 2008) waren im öffentlichen Sektor Denial-of-Service-Attacken mit 46 Prozent die vorherrschende Angriffsform. Den kompletten 3/08 16

17 Sicherheitsbericht für den öffentlichen Sektor finden Sie hier:http:// enterprise/white_papers/ ISTR_13_government.pdf Symantec ist ein weltweit führender Anbieter von Infrastuktur-Software, mit der sich Unternehmen und Privatpersonen sicher und vertrauensvoll in einer vernetzen Welt bewegen können. Das Unternehmen unterstützt Kunden beim Schutz ihrer Infrastrukturen, Informationen und Interaktionen durch Software und Dienstleistungen, die Risiken der IT-Sicherheit, Verfügbarkeit, Compliance und Leistungsfähigkeit adressieren. Symantec hat seinen Hauptsitz in Cupertino, Kalifornien und betreibt Niederlassungen in mehr als 40 Ländern. Mehr Informationen unter (PB) Internet-Security-Software für Endkunden sowie kleine und mittelständische Unternehmen, veröffentlichte ebenfalls diese Woche die Ergebnisse einer in seinem Auftrag im März 2008 durch das Marktforschungsunternehmen Ipsos durchgeführten Studie, die sich mit den Auswirkungen der Internetkriminalität auf EU-Bürger beschäftigt. Von den 7000 befragten Benutzern hatten 22 Prozent bereits einmal unfreiwillige Bekanntschaft mit Internetkriminalität gemacht, wobei Italien mit 32 Prozent am häufigsten betroffen war, knapp gefolgt von Großbritannien mit 31 Prozent. Diese Ergebnisse gehen mit zwei beobachteten Verhaltenstendenzen einher: Nationale Wirtschaft laut EU-Agentur für Computersicherheit durch Internetkriminalität bedroht Brno - Die Europäische Agentur für Netz- und Informations sicherheit (ENISA) warnte Ende Mai in einer Pressekonferenz vor der Bedrohung wirtschaftlicher Interessen der EU durch steigende Internetkriminalität. Obwohl die Agentur die Schwierigkeit betonte, das Ausmaß des Problems in Zahlen auszudrücken, bestätigen die während der Konferenz vorgelegten Daten die Ernsthaftigkeit der Bedrohung: Sechs Millionen Computer in der EU sind mit so genannten Bots infiziert und in illegale Botnets (fernsteuerbare Netzwerke) integriert. Die durch Spam verursachten Kosten belaufen sich für die Unternehmen auf 65 Milliarden Euro. AVG Technologies, einer der nach eigenen Angaben führenden Anbieter von Foto: doug Olson Extensive Nutzung des Internets für immer sensiblere Transaktionen 72 Prozent der Benutzer betreiben Internet-Shopping 69 Prozent der Benutzer nutzen Online-Banking 55 Prozent der Benutzer bezahlen ihre Rechnungen online Beim Online-Banking liegen Schweden (84 Prozent) und Deutschland (78 Prozent) an erster bzw. zweiter Stelle. Niedriger Grad angewandter Schutzmaßnahmen und gering ausgeprägtes Bewusstsein der Endanwender, auf welche Weise Cybercrime zu verhindern ist 18 Prozent der befragten Benutzer hatten keinen Virenschutz installiert 38 Prozent der Benutzer finden, es gibt nicht genug Informationen über Internetkriminalität und auf welche Weise man sich davor schützen kann. 3/08 17

18 Die schlechte Informationslage verunsichert die Menschen. So befürchten mehr Europäer, Opfer von Internetkriminalität (34 Prozent) zu werden, als Opfer eines Einbruchs (22 Prozent), körperlichen Angriffs (19 Prozent) oder Raubüberfalls (25 Prozent). Fast die Hälfte der Deutschen (47 Prozent) rechnet damit, Opfer von Internetkriminalität zu werden, während das Risiko für alle anderen Verbrechensarten bei unter 20 Prozent angesiedelt wurde. Sowohl aus dem ENISA-Bericht als auch aus unserer Studie geht ganz klar hervor, dass immer noch viel Arbeit vor uns liegt, um die Benutzer vor Cybercrime zu schützen, so JR Smith, Chief Executive Officer von AVG Technologies. Innerhalb weniger Jahre hat sich die Art der Bedrohung vom Hobby einiger weniger zu einem professionellen Verbrechenszweig entwickelt. Unsere Aufgabe besteht darin, benutzerfreundliche Sicherheitssoftware zu entwickeln, die innovatives Arbeiten zulässt.mit den schwindenden Grenzen im World Wide Web wird es für Unternehmen und Endanwender immer wichtiger, sich auf sichere Online-Transaktionen verlassen zu können. Wir unterstützen den Appell von ENISA und rufen unsere Branche zur Zusammenarbeit auf, um das Internet zu einem sicheren Ort für globale Geschäfte zu machen. Genauso wie Umweltpolitik nur dann greift, wenn alle Menschen und Unternehmen an einem Strang ziehen, ist auch die Internetsicherheit eine gemeinsame Verpflichtung aller. Aus diesem Grund steht die Benutzermeinung in unserer AVG-Studie im Mittelpunkt. Nur wenn Benutzer und IT-Experten zusammenarbeiten, können wir einen umfassenden Schutz gewährleisten. ENISA Die Europäische Agentur für Netz- und Informationssicherheit (European Network Information Security Agency: ENISA) wurde von der Europäischen Union mit dem Ziel gegründet, gemeinsam die Sicherheitsbedrohungen für die digitale Infrastruktur der Mitgliedsstaaten zu untersuchen. ENISA hat in verschiedenen EU-Mitgliedsstaaten in Zusammenarbeit mit den einzelnen Ländern so genannte Computer Emergency Response Teams (CERTs) eingerichtet. Waren es 2005 noch acht Regierungs-CERTs, sind es heute 14 und in den kommenden Jahren ist die Einrichtung zehn weiterer CERTs geplant hat die Europäische Agentur für Netz- und Informationssicherheit eine Machbarkeitsstudie in Auftrag gegeben, um die Einrichtung eines Frühwarnsystems zu prüfen, über das Unternehmen und Endanwender vor aufkommenden Sicherheitsbedrohungen (wie Virusattacken) informiert werden sollen. Weitere Informationen erhalten Sie unter agencies/community_agencies/enisa/index_de.htm (PB) Klassische Firewall schützt nicht die Webanwendungen Hannover - Klassische Netzwerk-Firewalls bieten keinen Schutz bei Angriffen auf der Anwendungsebene. Wer seine Webanwendungen auf Sicherheitslücken überprüfen will, sollte sogenannte Applikationsscanner einsetzen, rät das IT-Profimagazin ix in der Ausgabe 8/08. Zwar ersetzen diese Hilfsmittel nicht die abschließende manuelle Überprüfung, einfache Schwachstellen finden sie jedoch äußerst effizient. Foto: Sergey Ilin Die Nutzung von Webanwendungen ist heutzutage für Unternehmen wie Privatpersonen eine Selbstverständlichkeit - was ihre Attraktivität für Hacker enorm erhöht. Der Diebstahl von Kreditkarten- und anderen vertraulichen Informationen zum Beispiel über Cross-Site Scripting, einer Manipulation des Browsers, ist ein rentables Geschäft. Da die Angriffe auf der Anwendungsebene, also innerhalb zugelassener Protokolle, stattfinden, können klassische Netzwerk-Firewalls die Webanwendungen nicht schützen. Dieser Gefahr, auch als Port-80-Problem bekannt, kann man mit sogenannten Webapplikations-Firewalls (WAF) begegnen. Sie analysieren auf der Anwendungsebene sowohl die eingehenden Anfragepakete an den Webserverdienst, als auch dessen ausgehende Antworten. Auf die Art sollen sie sicherstellen, dass 3/08 18

19 keine bösartigen Anfragen an den Dienst gelangen und er keine vertraulichen Daten zurückliefert. Im Unterschied zu normalen Schwachstellenscannern suchen die Applikationsscannern nach individuellen Lücken einzelner Webanwendungen. Sie setzen eine Ebene höher an und durchforsten nicht das Betriebssystem und die Dienste, sondern die statischen und dynamischen Inhalte. Allerdings können diese Hilfsmittel nicht die manuelle Überprüfung durch einen Sicherheitsexperten ersetzen. Vor allem wenn es um komplexe Schwachstellen geht, sind den automatisierten Werkzeugen Grenzen gesetzt. Auch Logikfehler, die meist aufgrund fehlender Plausibilitätsprüfung entstehen, können nicht aufgedeckt werden. Auf welches Produkt letztendlich die Wahl fällt, hängt in der Praxis oftmals nicht alleine vom reinen Scan-Ergebnis ab, sondern auch davon, wie sich der Scanner in bestehende Umgebungen und organisatorische Prozesse einbinden lässt. (PM) Sicherheit aus der Hauptstadtregion Berlin - Die Sicherheitsbranche in der Hauptstadtregion entwickelt sich dynamisch, das zeigen die Wachstumszahlen für die Branche. Sie liegen deutlich über den Durchschnittswerten anderer Wirtschaftszweige in der Region. Einen Überblick über international erfolgreiche Projekte aus der Zusammenarbeit der regionalen Wirtschaft mit Forschung und Wissenschaft gibt die unter Federführung der Berliner Landesinitiative Projekt Zukunft entstandene Broschüre der Länder Berlin und Brandenburg Sicherheit in der Hauptstadtregion. Neben aktuellen Zahlen und Fakten zum Standort werden Lösungen und Projekte aus den Themenbereichen Sichere Identität, Gesicherte Strukturen sowie Aus- und Weiterbildung vorgestellt. Eine Übersicht zeigt die wichtigsten Netzwerke in der Region. Berlin-Brandenburg mit Sicherheit auf Wachstumskurs Nach einer aktuellen Umfrage von Projekt Zukunft sind gegenwärtig rund 220 Unternehmen der Sicherheitsbranche in der Region ansässig. Im Zeitraum 1997 bis 2007 verdoppelte sich die Zahl der Unternehmen in der Sicherheitsbranche. Die Zahl der Mitarbeiter stieg in den letzten fünf Jahren um knapp 50 Prozent, der Umsatz verdoppelte sich um fast 190 Prozent. Sicherheitstechnologien und -dienstleistungen aus Berlin und Brandenburg werden nicht nur aus der Region nachgefragt (29 Prozent), sondern aus dem ganzen Bundesgebiet (50 Prozent). Der internationale Markt mit sieben Prozent Anteil am Umsatzvolumen will aber noch erobert werden. Wirtschaft, Wissenschaft und Netzwerke kooperieren In Berlin-Brandenburg engagieren sich sechs Firmennetzwerke in unterschiedlichen Branchenschwerpunkten, von der biometrischen Identifikation bis hin zum Katastrophenschutz. Bei der Entwicklung innovativer Sicherheitslösungen kann sich die Region dabei auch auf eine hervorragende Wissenschafts- und Forschungslandschaft stützen: Mehr als 40 universitäre und externe Forschungseinrichtungen befassen sich mit Sicherheitsfragen. Die enge Verknüpfung mit der Industrie und den Nachfragern wird durch die Einrichtung von Stiftungslehrstühlen (Deutsche Telekom, Bundesdruckerei), durch die neuen Security- Labs und durch die Zusammenarbeit innerhalb des Fraunhofer-Clusters Sichere Identität deutlich. Sicherheit aus der Hauptstadtregion Die Broschüre stellt einen Querschnitt marktfähiger Sicherheitslösungen und -anwendungen vor und zeigt die Innovationskraft und Dynamik der Sicherheitsbranche in Berlin-Brandenburg. Zu den Referenzprojekten gehört u. a. der von der Bundesdruckerei entwickelte elektronische Pass (epass). Im Netzwerk Tunnelsicherheit (tusec) haben sich Unternehmen und Forschungseinrichtungen der Region zusammengeschlossen, um Lösungen zur Vorbeugung und Schadensbegrenzung bei Unglücken oder bei Anschlägen auf Verkehrstunnel zu finden. Aus der Forschung kommen weitere innovative Entwicklungen, die weltweit nachgefragt werden. So zum Beispiel die Lösung zur digitalen Dokumentenrekonstruktion, entwickelt vom Berliner Fraunhofer- Institut für Produktionsanlagen und Konstruktionstechnik. Sicherheit ist Bestandteil der Strategie für den IT-Standort Berlin Das Thema Sicherheit ist ein bedeutendes Handlungsfeld in der IT-Standortstrategie und des länderübergreifenden Innovationskonzepts Berlin-Brandenburg. Eine Übersicht der am Standort vorhandenen Anbieter, Bildungs- und Forschungseinrichtungen, Netzwerke sowie Lösungen und Referenzen bietet das neue Internetportal Die neue Broschüre steht sowohl auf den Internetseiten von Projekt Zukunft als auch auf den Webseiten von Sicherheit.Berlin-Brandenburg.de zum Download bereit. (PM) 3/08 19

20 Datenschutz hat festen Platz in den Berliner Behörden Die positive Tendenz der vergangenen Jahre hat sich fortgesetzt: Der Datenschutz hat einen festen Platz in den Behörden gefunden. Zwischen den Berliner Behörden und dem Berliner Beauftragten für Datenschutz und Informationsfreiheit besteht ein ständiger Dialog. Durch diese Partnerschaft kann den zunehmend komplexeren Anforderungen an den Datenschutz zumeist schon frühzeitig entsprochen werden. Dementsprechend übt der Berliner Beauftragte für Datenschutz und Informationsfreiheit nur an wenigen Stellen seines Berichts ausdrücklich Kritik am Handeln des Senats. Der Senat hat in seiner Sitzung am 24. Juni 2008 auf Vorlage des Senators für Inneres und Sport, Dr. Ehrhart Körting, die Stellungnahme des Senats zum Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2007 beschlossen. Online-Durchsuchung identisch. Die technischen Vorgaben sowie die zu erreichenden Ziele erfordern dies. Daher teilt der Senat nicht die Auffassung des Berliner Beauftragten für Datenschutz und Informationsfreiheit, dass der Einsatz solcher Software durch die Sicherheitsbehörden in diesem Zusammenhang widersinnig sei. Der Appell des Berliner Beauftragten für Datenschutz und Informationsfreiheit, eine verfassungskonform ausgestaltete Befugnisnorm nicht zu schaffen, ist politischer Natur. Der Senat beabsichtigt nicht, die Schaffung einer Ermächtigungsgrundlage zur Online-Durchsuchung auf Landesebene vorzuschlagen. Auf Bundesgesetze hat Berlin keinen maßgeblichen Einfluss. Telefonieren im Internet (Voice over Internet Protocol - VoIP) Den spezifischen Risiken bezüglich der Nutzung von VoiP muss mit angemessenen Sicherheitsmaßnahmen begegnet werden. Bestandteil der laufenden Aktivitäten des IT-Dienstleistungszentrums Berlin (ITDZ) zur Einführung von VoiP ist daher auch die Erstellung und Umsetzung eines entsprechenden IT-Sicherheitskonzeptes. Dies erfolgt in enger Abstimmung mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit. Thematisiert wurden im Bericht des Datenschutzbeauftragten weiterhin u.a.: Videoüberwachungen, Zuverlässigkeitsüberprüfungen bei der Deutschen Bundesbank, Steuerdaten im Internet. (LPD) Verwaltungsmodernisierung auf gutem Weg Die Berliner Verwaltung entwickelt sich zunehmend zu einem modernen Dienstleistungsanbieter. Das geht aus dem ersten Fortschrittsbericht zum Modernisierungsprogramm ServiceStadt Berlin hervor, den der Senat auf seiner Sitzung am 17. Juni 2008 auf Vorlage des Senators für Inneres und Sport, Dr. Ehrhart Körting, zustimmend zur Kenntnis genommen hat. 15 der 105 Projekte und Vorhaben des Programms konnten bereits ein Jahr nach Programmstart abgeschlossen werden. Auch die restlichen Maßnahmen liegen überwiegend im Zeitplan, sodass mit ihrer Umsetzung bis zum Abschluss der Legislaturperiode zu rechnen ist. Der Senat stimmt den Ausführungen des Berliner Beauftragten für Datenschutz und Informationsfreiheit grundsätzlich zu. Abgelehnt wird allerdings die Aussage, dass sich die deutschen Sicherheitsbehörden zur Beschaffung notwendiger Software (Exploits) möglicherweise nicht legaler Wege bedienen würden. Der Senat bezweifelt, dass die Einführung der Online-Durchsuchung insbesondere in der Wirtschaft immense Schäden anrichten würde. Software, vergleichbar mit der zur Durchführung einer Online-Durchsuchung, ist seit Jahren prinzipiell verfügbar und wird auch jetzt schon zur Industriespionage eingesetzt. Tatsächlich ist die eingesetzte Software zur Wirtschaftsspionage sowie zur Online-Durchsuchung in weiten Teilen Foto: Archiv - mobiler Arbeitsplatz Die Verbesserung von Service und Qualität ist das übergeordnete Ziel der Verwaltungsmodernisierung in der aktuellen Legislaturperiode. Unternehmen, 3/08 20

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de POLIZEI Hamburg Wir informieren www.polizei.hamburg.de Online-Sicherheit Die Nutzung des Internet ist für die meisten von uns heute selbstverständlich. Leider fehlt es vielen Nutzerinnen und Nutzern allerdings

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Online-Banking. 45 Tipps für das sichere Online-Banking

Online-Banking. 45 Tipps für das sichere Online-Banking Online-Banking 45 Tipps für das sichere Online-Banking Notwendige Sicherheitsvorkehrungen am PC Versuchen Sie, möglichst wenige Personen an 1 dem PC arbeiten zu lassen, an dem Sie auch das Online-Banking

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

IZ SICHERHEIT. Sicherheitsforum Online-Banking. Matthias Stoffel. Dietzenbach, 28. April 2015 INFORMATIK ZENTRALE SERVICES.

IZ SICHERHEIT. Sicherheitsforum Online-Banking. Matthias Stoffel. Dietzenbach, 28. April 2015 INFORMATIK ZENTRALE SERVICES. SICHERHEIT INFORMATIK ZENTRALE SERVICES Sicherheitsforum Online-Banking Matthias Stoffel Dietzenbach, 28. April 2015 Finanzgruppe S GmbH 2015 SICHERHEIT INFORMATIK ZENTRALE SERVICES 1. Sicherheitsmerkmale

Mehr

Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihrer Raiffeisenbank Thurnauer Land eg

Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihrer Raiffeisenbank Thurnauer Land eg Sicherheitsvorkehrungen am eigenen PC 1 Versuchen Sie, so wenig Personen wie möglich an dem PC arbeiten zu lassen, den Sie für das Online-Banking nutzen. Dadurch werden die Risiken reduziert, die durch

Mehr

Phishing. Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihren Volksbanken Raiffeisenbanken.

Phishing. Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihren Volksbanken Raiffeisenbanken. Phishing Rundum sicher beim Online-Banking. 45 wichtige Tipps von Ihren Volksbanken Raiffeisenbanken. Sicherheitsvorkehrungen am eigenen PC 1 2 3 4 5 Versuchen Sie, so wenig Personen wie möglich an dem

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan

Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan Starten Sie Ihren Internet-Browser und rufen Sie anschließend unsere Internetseite www.volksbank-magdeburg.de auf. Klicken Sie dann rechts oben

Mehr

IT-Kriminalität in Deutschland

IT-Kriminalität in Deutschland IT-Kriminalität in Deutschland Prof. Dieter Kempf BITKOM-Präsident Vorsitzender Deutschland sicher im Netz e. V. Pressekonferenz 30. Juni 2011 Datenspionage: Angst und Gefahr nehmen zu Wodurch fühlen Sie

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Computersicherheit im Informationszeitalter. 15.12.2014 / Seth Buchli

Computersicherheit im Informationszeitalter. 15.12.2014 / Seth Buchli Computersicherheit im Informationszeitalter 15.12.2014 / Seth Buchli Inhalt Computersicherheit... 3 Wireless Sicherheit... 3 Sichere Passwörter erzeugen und merken... 4 Auskünfte am Telefon... 4 Post Werbegeschenke...

Mehr

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe Mit Sicherheit: giropay. Online-Bezahlverfahren müssen einfach, schnell und sicher sein. Und genau diese Kriterien erfüllt

Mehr

Internet in sicheren Händen

Internet in sicheren Händen Internet in sicheren Händen Das Internet ist Teil unseres alltäglichen Lebens. Aus diesem Grund ist es notwendig Ihre Familie zu schützen: Um sicher zu sein, dass sie das Internet vorsichtig nutzt und

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger.

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger. Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Im Internet surfen ist wie Autofahren reinsetzen

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Online-Banking Sicherheits- und Einstiegshinweise

Online-Banking Sicherheits- und Einstiegshinweise Stand: 21.08.2014 Online-Banking Sicherheits- und Einstiegshinweise Ansprechpartner: Matthias Schulze 03991 / 178147 Mario Köhler 03991 / 178240 Hans-Jürgen Otto 03991 / 178231 Ersteinstieg über das Internet-Banking

Mehr

Der Weg zu Ihrem Online-Konto mit PIN/TAN

Der Weg zu Ihrem Online-Konto mit PIN/TAN Der Weg zu Ihrem Online-Konto mit PIN/TAN Allgemeines zur Kontensicherheit/Sicherheitshinweis Wir machen Sie darauf aufmerksam, dass die Sparkasse keine vertraulichen Daten (z.b. PIN und/oder TAN) per

Mehr

Tipps zur Verbesserung der Sicherheit im Online-Banking

Tipps zur Verbesserung der Sicherheit im Online-Banking Tipps zur Verbesserung der Sicherheit im Online-Banking Seite 1 von 7 Inhaltsverzeichnis 1 den Computer (PC)...4 2 Besonderes Augenmerk auf den Internet-Browser...4 3 Vorsichtiger Umgang mit den Geheimdaten...5

Mehr

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter 19. Mai 2014 Handwerkskammer OWL zu Bielefeld Begriffsklärungen zur IT-Sicherheit Informationssicherheit -> Schutzziele für Daten hinsichtlich

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Sicherheit bei PCs, Tablets und Smartphones

Sicherheit bei PCs, Tablets und Smartphones Michaela Wirth, IT-Sicherheit http://www.urz.uni-heidelberg.de/it-sicherheitsregeln Stand März 2015 Computer sind aus unserem Alltag nicht mehr wegzudenken. PCs, Notebooks, Tablets und Smartphones begleiten

Mehr

Sicherheit im Internet

Sicherheit im Internet Sicherheit im Internet Inhaltsverzeichnis 1. Computersicherheit 2 2. Passwörter 4 3. Shopping 6 4. Onlinezahlung 7 5. Internet Abzocke 8 6. Phishing 10 Seite 1 1. Computersicherheit Viren, auch Trojaner

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken Welchen IT-Risiken ist meine Institution ausgesetzt? Praktische Anleitung zur Erstellung von IT-Risikostrategien 24. 25. März 2014,

Mehr

Vorsicht beim Surfen über Hotspots

Vorsicht beim Surfen über Hotspots WLAN im Krankenhaus? Vorsicht beim Surfen über Hotspots - Unbefugte können leicht auf Rechner zugreifen - Sicherheitstipps für Nutzer öffentlicher WLAN-Netze Berlin (9. Juli 2013) - Das mobile Surfen im

Mehr

Schlüsselpärchen. Digitale Signaturen und Sicherheit

Schlüsselpärchen. Digitale Signaturen und Sicherheit Schlüsselpärchen Digitale Signaturen und Sicherheit Dr. Rudolf Gardill, Universität Bamberg, Rechenzentrum MS Wissenschaft, 10. September 2006 Eine seltsame Mail From: Maiser@listserv.uni-bamberg.de [mailto:maiser@listserv.uni-bamberg.de]

Mehr

Schutz vor Phishing und Trojanern

Schutz vor Phishing und Trojanern Schutz vor Phishing und Trojanern So erkennen Sie die Tricks! Jeder hat das Wort schon einmal gehört: Phishing. Dahinter steckt der Versuch von Internetbetrügern, Bankkunden zu Überweisungen auf ein falsches

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

Sicherheit beim Online-Banking. Neuester Stand.

Sicherheit beim Online-Banking. Neuester Stand. Sicherheit Online-Banking Sicherheit beim Online-Banking. Neuester Stand. Gut geschützt. Unsere hohen Sicherheitsstandards bei der Übermittlung von Daten sorgen dafür, dass Ihre Aufträge bestmöglich vor

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG Obwohl inzwischen immer mehr PC-Nutzer wissen, dass eine E-Mail so leicht mitzulesen ist wie eine Postkarte, wird die elektronische Post

Mehr

KAV/KIS 2014 Global Messaging- Leitfaden

KAV/KIS 2014 Global Messaging- Leitfaden KAV/KIS 2014 Global Messaging- Leitfaden Headlines Kaspersky Internet Security 2014 Kaspersky Anti-Virus 2014 Premium-Schutz für den PC Essenzieller PC-Schutz Produktbeschreibung 15/25/50 Kaspersky Internet

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Datenschutzerklärung der Gütermann GmbH

Datenschutzerklärung der Gütermann GmbH Stand: 01. März 2014 Datenschutzerklärung der Datenschutzrechtlich verantwortliche Stelle ist die,, D-79261. Datenschutz ist unser Anliegen Wir freuen uns über Ihr Interesse an unserem Unternehmen und

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

Sicherheitshinweise zum Online-Banking

Sicherheitshinweise zum Online-Banking Sicherheitshinweise zum Online-Banking Damit Sie Ihre Bankgeschäfte nicht nur bequem, sondern auch sicher erledigen können, haben wir für Sie einige Sicherheitshinweise zusammengestellt. Bitte berücksichtigen

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Leiden Sie auch unter Digitaler Schizophrenie?

Leiden Sie auch unter Digitaler Schizophrenie? Aufgepasst: Cybercrime! Computer- und Internetsicherheit Cybercrime die unterschätzte tzte Gefahr für f r die Unternehmen?! Zentrale Ansprechstelle Cybercrime für die niedersächsische Wirtschaft (ZAC)

Mehr

Der neue Personalausweis notwendiges Infrastrukturmedium für einen sicheren Internetverkehr

Der neue Personalausweis notwendiges Infrastrukturmedium für einen sicheren Internetverkehr Der neue Personalausweis notwendiges Infrastrukturmedium für einen sicheren Internetverkehr Forum Public Sector Parc Prof. Dieter Kempf 02.03.2011 Anteil der Internetnutzer in Deutschland 70 Prozent sind

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne Perspektiven für die Verwaltung. Private Cloud Computing

Mehr

SMS im Finanzwesen. Broschüre

SMS im Finanzwesen. Broschüre SMS im Finanzwesen Broschüre Warum SMS? Besonders im Finanzwesen sind Sicherheit, Zuverlässigkeit und Vertrauen von hoher Bedeutung. SMS sind ein hilfreiches Instrument, um Kunden genau diese Werte zu

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz von IT-Dienststrukturen durch das DFN-CERT Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz - Warum? Folie 2 Schutz - Warum? (1) Schutz von IT-Dienststrukturen immer bedeutsamer:

Mehr

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Metadaten: Version:

Mehr

Wie schütze ich mein WLAN vor Dritten?

Wie schütze ich mein WLAN vor Dritten? Wie schütze ich mein WLAN vor Dritten? Kabelsalat gehört mit dem Wireless Local Area Network (kurz: WLAN), oder zu Deutsch dem drahtlosen lokalen Netz- werk, der Vergangenheit an. Besonders Nutzern von

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Datensicherheit und Co. IHK Potsdam, 22.05.2013

Datensicherheit und Co. IHK Potsdam, 22.05.2013 Datensicherheit und Co. IHK Potsdam, 22.05.2013 Aktuelles 25.04.2013/ 17:18 Gefälschte Bank-Mails verteilen Trojaner für Android Hacker-Angriff Bonn (dpa/tmn) - Android-Smartphones stehen gerade im Visier

Mehr

BAYERISCHES STAATSMINISTERIUM DES INNERN

BAYERISCHES STAATSMINISTERIUM DES INNERN BAYERISCHES STAATSMINISTERIUM DES INNERN Bayer. Staatsministerium des Innern 80524 München Einsatznachbearbeitung und vermeintlicher Zertifikatfehler unter Internet Explorer bzw. Mozilla Firefox Bei sicheren

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Grundlegende Systemadministration unter Windows & OSX

Grundlegende Systemadministration unter Windows & OSX Grundlegende Systemadministration unter Windows & OSX Jour Fixe für IT Verantwortliche SS 2013 Dr. Ronald Schönheiter Systemadministration umfasst 1. Benutzerkonten / Berechtigungen 2. Netzanbindung 3.

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

1. Firefox 3: die neuen Features im Schnellüberblick

1. Firefox 3: die neuen Features im Schnellüberblick . Firefox 3: die neuen Features im Schnellüberblick Mehr Sicherheit beim Surfen Mit Firefox 3 legt das Mozilla-Projekt den lange erwarteten Nachfolger des beliebten Firefox-Browsers vor, der dem Internet

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Daten-schützen.ppt, Andreas Schneider, 2011-12-06, Page 1 of 27

Daten-schützen.ppt, Andreas Schneider, 2011-12-06, Page 1 of 27 Daten-schützen.ppt, Andreas Schneider, 2011-12-06, Page 1 of 27 Agenda Warum wird das Thema Sicherheit immer wichtiger? Welche Arten von Sicherheitsrisiken gibt es? Welche Arten von Verschlüsselung gibt

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

E-Mail-Verschlüsselung mit S/MIME

E-Mail-Verschlüsselung mit S/MIME E-Mail-Verschlüsselung mit S/MIME 17. November 2015 Inhaltsverzeichnis 1 Zertifikat erstellen 1 2 Zertifikat speichern 4 3 Zertifikat in Thunderbird importieren 6 4 Verschlüsselte Mail senden 8 5 Verschlüsselte

Mehr

Stand Juli 2015 Seite 2

Stand Juli 2015 Seite 2 1. Einführung Die E-Mail ist heute sowohl im privaten als auch geschäftlichen Alltag eines der am häufigsten verwendeten technischen Kommunikationsmittel. Trotz des täglichen Gebrauchs hat das Thema "Sichere

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

IT-Sicherheitskoordinator in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation. 26. 28. Februar 2014, Berlin

IT-Sicherheitskoordinator in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation. 26. 28. Februar 2014, Berlin IT-Sicherheitskoordinator in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation 26. 28. Februar 2014, Berlin IT-Sicherheitskoordinator in der öffentlichen Verwaltung 26. 28. Februar

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

IT-Sicherheit. Referent: Michael Harenberg (IT-Sicherheitsbeauftragter, VR-Bank eg) 09.12.2013. Folie 1. Quelle: FIDUCIA IT AG

IT-Sicherheit. Referent: Michael Harenberg (IT-Sicherheitsbeauftragter, VR-Bank eg) 09.12.2013. Folie 1. Quelle: FIDUCIA IT AG IT-Sicherheit Referent: Michael Harenberg (IT-Sicherheitsbeauftragter, VR-Bank eg) Quelle: FIDUCIA IT AG Folie 1 Gefahren aus dem Internet Angreifer, Angriffsziele und Gegenmaßnahmen Folie 2 Statistik

Mehr

Online-Banking mit der HBCI-Chipkarte. HBCI - Der Standard. Kreissparkasse Tübingen Seite 1 von 5

Online-Banking mit der HBCI-Chipkarte. HBCI - Der Standard. Kreissparkasse Tübingen Seite 1 von 5 Kreissparkasse Tübingen Seite 1 von 5 Online-Banking mit der HBCI-Chipkarte Die Abwicklung von Bankgeschäften per PC über unser Internet-Banking oder über eine Finanzsoftware, wie z.b. StarMoney, nimmt

Mehr

DEPARTEMENT FINANZEN UND RESSOURCEN. 2. Juli 2014 ANLEITUNG. Zertifikate erneuern. 1. Ausgangslage

DEPARTEMENT FINANZEN UND RESSOURCEN. 2. Juli 2014 ANLEITUNG. Zertifikate erneuern. 1. Ausgangslage DEPARTEMENT FINANZEN UND RESSOURCEN Abteilung Personal und Organisation 2. Juli 2014 ANLEITUNG Zertifikate erneuern 1. Ausgangslage Seit einigen Jahren verwendet der Kanton Aargau SmartCards mit Zertifikaten

Mehr

Studie Internet-Sicherheit

Studie Internet-Sicherheit Studie Internet-Sicherheit Verbrauchermeinungen zur Datensicherheit im Web Auftraggeber: Institut: BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. ARIS Umfrageforschung

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Automatisiertes Informationsmanagement für Microsoft Exchange Server

Automatisiertes Informationsmanagement für Microsoft Exchange Server Windream Exchange Automatisiertes Informationsmanagement für Microsoft Exchange Server Facts: Zugriff auf E-Mails sowohl aus Microsoft Outlook als auch aus Windream Komfortable Recherche und Verwaltung

Mehr

IT Security Investments 2003

IT Security Investments 2003 Auswertung der Online-Befragung: IT Security Investments 2003 Viele Entscheidungsträger sehen die IT fast nur noch als Kostenträger, den es zu reduzieren gilt. Unter dieser Fehleinschätzung der Bedeutung

Mehr

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

PK TLS-Check am 23.2.2016. Langversion/Einführung:

PK TLS-Check am 23.2.2016. Langversion/Einführung: PK TLS-Check am 23.2.2016 Langversion/Einführung: Kommunikation und Austausch von Informationen und Daten via Internet ist zu einem Kernelement unternehmerischer Aktivitäten geworden. Mit den aktuellen

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

Sparkasse Gießen. Seite 1 von 11. 1 Götz Schartner, 8com GmbH,,,Sicherheit im Internet.

Sparkasse Gießen. Seite 1 von 11. 1 Götz Schartner, 8com GmbH,,,Sicherheit im Internet. Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen oft keinen ausreichenden Schutz, denn

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

SCHUFA-IdentSafe. Mein Ich gehört mir. Sichern Sie jetzt Ihre Identität. Wir schaffen Vertrauen

SCHUFA-IdentSafe. Mein Ich gehört mir. Sichern Sie jetzt Ihre Identität. Wir schaffen Vertrauen SCHUFA-IdentSafe Mein Ich gehört mir. Sichern Sie jetzt Ihre Identität Wir schaffen Vertrauen SCHUFA-IdentSafe: der entscheidende Beitrag zum Schutz Ihrer Identität Vertrauen Sie bei der Sicherung Ihrer

Mehr

Praxis Let s Encrypt: Sicher surfen Johannes Merkert, Jan Schüßler

Praxis Let s Encrypt: Sicher surfen Johannes Merkert, Jan Schüßler Johannes Merkert, Jan Schüßler Aber sicher! Verschlüsselt surfen mit HTTPS Everywhere und PassSec+ Ihr Webbrowser spricht mit den Seiten, die Sie ansurfen, verschlüsselt aber leider nur im Idealfall. Ein

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

Inhalt 1. Einleitung 2. Kostenlose Einrichtung und Nutzung 3. Registrierungsmail 4. Registrierung 5. Varianten und Funktionsweise 6.

Inhalt 1. Einleitung 2. Kostenlose Einrichtung und Nutzung 3. Registrierungsmail 4. Registrierung 5. Varianten und Funktionsweise 6. Inhalt 1. Einleitung 2. Kostenlose Einrichtung und Nutzung 3. Registrierungsmail 4. Registrierung 5. Varianten und Funktionsweise 6. Ansprechpartner bei Unregelmäßigkeiten 1. Einleitung: E-Mails ersetzen

Mehr

Ein Plädoyer für mehr Sicherheit

Ein Plädoyer für mehr Sicherheit FACHARTIKEL 2014 Oder: Warum Zwei-Faktor-Authentifizierung selbstverständlich sein sollte Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. Oder: Warum Zwei-Faktor-Authentifizierung

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr