Focus on Security Ausgabe 01, Januar 2014

Größe: px
Ab Seite anzeigen:

Download "Focus on Security Ausgabe 01, Januar 2014"

Transkript

1 Focus on Security Ausgabe 01, Januar 2014

2 2 Focus on Security Informationen zur Unternehmenssicherheit Advanced Persistent Threats Seite 3 Arbeitsschutz Seite 3 Arzneimittelfälschung Seite 3 Baustellensicherheit Seite 4 Betrug Seite 4 Brandanschläge Seite 5 Brandschutz Seite 6 Business Continuity Management (BCM) Seite 8 Change Management Seite 8 Flughafensicherheit Seite 9 Gefahrenmeldetechnik Seite 9 Geldautomatensicherheit Seite 9 Geldwäsche Seite 10 Grenzkriminalität Seite 10 Hotelsicherheit Seite 10 IT-Sicherheit Seite 11 IuK-Kriminalität Seite 14 Kartellrechtsverstöße Seite 15 Kommunikationssicherheit Seite 15 Korruption Seite 16 Krisenkommunikation Seite 17 Logistiksicherheit Seite 17 Managerhaftung Seite 18 Mobile Endgeräte Seite 18 Nationale Sicherheitsstrategie Seite 19 Notfallplanung Seite 19 Notruf- und Serviceleitstelle (NSL) Seite 19 Perimeterschutz Seite 20 Personenschutz Seite 20 Sanktionen gegen Unternehmen Seite 20 Schließsystem Seite 21 Sicherheitsmanagement Seite 21 Sicherheitstechnik Seite 21 Sicherheitswirtschaft Seite 22 Spionage Seite 23 Stadionsicherheit Seite 24 Stromausfall Seite 24 Überflutungsvorsorge Seite 25 Unternehmenssicherheit Seite 25 Videoüberwachung Seite 25 Vorratsdatenspeicherung Seite 26 Wirtschaftskriminalität Seite 26 Zutrittskontrolle Seite 27

3 Focus on Security Advanced Persistent Threats Der Journalist Stephan Frey befasst sich in der Dezemberausgabe des BehördenSpiegel mit ATPs, umfangreichen und zielgerichteten Angriffen auf besonders sensible Datenstrukturen und IT-Anlagen von mittleren und großen Unternehmen. Wörtlich bedeute der Begriff eine fortgeschrittene, andauernde Bedrohung. Ein zusätzliches Charakteristikum sei der optimale Zuschnitt auf den jeweiligen Zweck des Einsatzes, also einer bestimmten Softwareanwendung, die erfolgt, wenn der Angreifer die erforderlichen Rechte besitzt. Als Urheber seien in erster Linie Staaten und ihre Geheimdienste, aber auch konkurrierende Unternehmen zu nennen. Im Fall eines Angriffs nach dem Beispiel von Stuxnet gebe es kaum eine Möglichkeit, die Schadsoftware zu erkennen, da diese keine Steuerung von außen erfahre. Es gebe Sicherheitsmechanismen, die die sogenannten fingierten Daten bei einem Datentransfer melden. Dadurch könne ein APT-Angriff verhindert oder der Urheber nachvollzogen werden. Bei Unternehmen mit Zulieferbetrieben könne ein eigenes Netzwerk aufgebaut werden, das regelmäßig Reports erstellt und an das Netzwerk verteilt. Aktuellen Erhebungen zufolge sei nahezu jedes fünfte Unternehmen gefährdet, Opfer eines APT-Angriffs zu werden. Arbeitsschutz In der Fachzeitschrift GIT (Ausgabe , S. 94/95) setzt Dipl.-Ing. Andreas Vogt, DGUV, seinen Beitrag über den richtigen Fußschutz für betriebliche Tätigkeiten fort und bezeichnet Einflussfaktoren auf den Tragekomfort: Passform, Zehenkappen, Polsterung, Klimamembran, Gewicht, Schuhverschluss und Schutz gegen Umknicken. Durch die konsequente Nutzung von Fußschutz könne die Zahl von Fußverletzungen deutlich gesenkt werden. Ein geeigneter Fußschutz sei kostengünstiger als ein halber Ausfalltag eines Facharbeiters. In derselben Ausgabe befasst sich GIT mit neuen Lösungen für den Schutz vor Gefah- ren durch toxische oder explosive Gase (S. 98/99). Neben dem Tango TX1, das als erstes Eingaswarngerät zwei gleiche Sensoren zur Erkennung eines einzelnen Gases verwendet, ermögliche die Accenture Life Safety Solution von Industrial Sientific Deutschland die drahtlose Echtzeitüberwachung und -ortung von Mitarbeitern in Industrieanlagen. Mit dem Service inet erhielten Kunden Gaswarntechnik als Dienstleistung. Garwarngeräte müssten mit inet nicht mehr gekauft, sondern könnten gemietet werden. Gerätekalibrierungen und -wartungen würden automatisch und ohne zusätzliche Kosten durchgeführt. Arzneimittelfälschung Die FAZ befasst sich am 10. Dezember mit Möglichkeiten, die Lieferkette von Medikamenten vor Fälschungen zu sichern. Von 2017 an müssten Erstöffnungsschutz und die Serialisierung bei den meisten verschreibungspflichtigen Medikamenten europaweit sicherstellen, dass Fälschungen nicht in die legale Lieferkette eindringen. Das sei ein großer technischer und finanzieller Aufwand, doch die Gefahr sei eminent. Immerhin läge im Handel mit gefälschten Arzneimitteln die Gewinnspanne mitunter höher als in dem mit Drogen. Zum Spektrum der Fälschungen gehörten Arzneien gegen Aids, Krebs, Malaria, aber auch Erkältungskrankheiten und vieles mehr. Weltweit seien rund 10 % aller Medika-

4 4 Focus on Security mente gefälscht, wobei mehr als 50 % der im Internet verkauften Pharmazeutika und rund 60 % der Arzneimittel in Entwicklungsländern den Hauptanteil ausmachten. Schutz könne ein kontrollierter Vertriebsweg bringen, der lückenlos die Ware von der Produktion bis zum Verbraucher verfolgt. In Deutschland habe die Initiative Securpharm (www.securpharm.de), in der sich Arzneimittelhersteller, Pharmagroßhändler und Apotheker zusammengeschlossen haben, eine Überwachung der kompletten Lieferkette entwickelt, die der Richtlinie 2011/62/EU des Europäischen Parlaments entspreche. Zum Schutz des legalen Vertriebswegs werde beim Verpackungs prozess jedes Medikament mit einem aufgedruckten 2D-Data-Matrix-Code gekennzeichnet, dessen Aussehen einer Internetbriefmarke gleiche. In ihm werden nicht nur die weltweit eindeutige Pharmacy Product Number (PPN), Chargenbezeichnung und Verfallsdatum verschlüsselt, sondern auch eine Seriennummer, die für jede Packung generiert wird. Mit ihrer Seriennummer werde jede Verpackung abschließend in einer zentralen Datenbank registriert. Über die eindeutige Kennzeichnung könne dann bei der Abgabe in der Apotheke kontrolliert werden, ob es sich um eine registrierte, frische Verpackung handelt. Für den Schutz des Inhalts müsse laut EU-Richtlinie zudem eine manipulationssichere Verpackung (Tamper Evidence) vorhanden sein. Im Vordergrund stehe hier, dass der Apotheker, aber auch der Kunde, erkennt, ob die Schachtel, Dose oder Flasche schon einmal geöffnet wurde. Der Versiegelungsspezialist Schreiner Prosecure biete neben dem Erstöffnungsschutz auch Kennzeichnungen zum Originalitätsschutz von Packungen wie Hologramme, aber auch die besonders geschützten Kippfarben. Zusätzlich zu solch sichtbaren Verfahren ließen sich dann aber nur für Fachleute dechiffrierbar unsichtbare Echtheitsnachweise in Verpackungen integrieren, beispielsweise als RFID-Label oder in Form von Spezialpigmenten. Mit einem spektroskopischen Lesegerät lasse sich per Laser die Mineralienmischung wie eine Art Fingerabdruck überprüfen. Es ließe sich verfolgen, von wem, wo und wann ein Medikament produziert wurde. Baustellensicherheit Dr. Karl-Bernhard Lederle, Bosch Sicherheitssysteme, stellt in der Fachzeitschrift WiK (Ausgabe , S. 66/67) ein neues Konzept gegen Klau am Bau vor. Mit Goard ngo habe Bosch ein Konzept entwickelt, das Prävention, Intervention und Überwachung kombiniert. Die Basis sei eine Videoüberwachung mit intelligenter Videoanalyse. Die Kommunikation zwischen der Sicherheitstechnik vor Ort und der NSL könne über die vorhandenen Mobilfunknetze erfolgen. Die Stromversorgung werde bei Bedarf über Solarpanele und Akkus sichergestellt. Sogenannte Funksiegel könnten an Baumaschinen befestigt werden und bei Bewegung einen Alarm senden. Aufgrund ihrer Wiederverwendbarkeit eigneten sich Funksiegel besonders gut für den temporären Einsatz, wie er für Baustellen typisch ist. Durch ihren weiten Temperaturbereich von -40 bis +70 Grad eigneten sie sich für den Außenbereich, auch bei extremen Umgebungsbedingungen. Um tagsüber den Baustellenbetrieb nicht zu behindern, könnten sie zu Arbeitsbeginn über die NSL unscharf geschaltet werden. Betrug Nach einer Meldung im Magazin Focus am 9. Dezember warnt das BKA vor dreistem Telefonbetrug in steigendem Ausmaß. Der BKA-Präsident habe der IMK die Zahl von bis

5 Focus on Security zu Geschädigten durch betrügerische Call-Center-Anrufe genannt. Vor allem von der Türkei aus agierende Täter machten per Telefon falsche Gewinnversprechen, die an die vorherige Überweisung von Gebühren geknüpft seien. Durch die Betrügereien hätten die Täter bislang etwa 175 Millionen Euro erbeutet. Die Einführung der europaweit einheitlichen Kontonummern sei eine Fundgrube für Kriminelle, heißt es am 10. Dezember in der FAZ. Betrüger forderten Bank- und Firmenkunden dazu auf, ihre Daten angeblich im Rahmen der Sepa-Umstellung zu bestätigen. In den Mails befänden sich Links zu Webseiten, die in Wirklichkeit persönliche Daten der Empfänger wegfischen oder deren Computer mit einem Schadprogramm infizieren. Der Rat: nicht öffnen, nicht anklicken, nicht antworten. Deutsche und europäische Behörden gehen offenbar dem Verdacht von Steuerbetrug im Stromhandel nach, der die Staatskasse Milliarden gekostet haben könnte, berichtet die FAZ am 21. Dezember. Mehrere Staatsanwaltschaften, Steuerbehörden und Kriminalämter arbeiteten in der Sache zusammen. Ein Sprecher des BMF habe erklärt, solchen kriminellen Geschäften auf dem Strommarkt habe man mittlerweile die Grundlage entzogen. Denn die EU-Kommission habe Deutschland gestattet, in dieser Branche die Umsatzsteuerpflicht vom Lieferanten auf den Empfänger zu verlagern (Reversed Charge-Verfahren). EUROPOL sei sich der fortdauernden kriminellen Aktivitäten auf den Energiemärkten bewusst. EU-Steuerkommissar Algirdas Semeta habe wiederholt erklärt, das geltende Mehrwertsteuersystem sei zu betrugsanfällig. In 26 Punkten wolle seine Behörde Änderungen erzielen. Einer Brüsseler Studie zufolge entgingen den EU-Staaten 2011 allein deshalb 193 Milliarden Euro an Einnahmen, davon 27 Milliarden in Deutschland. Brandanschläge Wie das BKA in seiner Wochenlage am 6. Dezember mitteilt, haben unbekannte Täter am 28. November in Berlin-Adlershof einen Kabelschaft an einem Funkverteilermast der Vodafone GmbH mittels selbstgebauter Brandvorrichtungen beschädigt. Sie hatten sich Zugang zu dem umfriedeten Gelände verschafft und anschließend den Mast bis in sechs Meter Höhe erklettert. Der Brand beeinträchtigte den Mobilfunkbetrieb nicht. In einem Selbstbezichtigungsschreiben richten sich die Verfasser unter dem Namen anonymous/vulkangruppe Katla gegen die totale Überwachung durch Regierungen, Geheimdienste und Konzerne. Eine Einrichtung der Vodafone GmbH sei als Ziel gewählt worden, weil dieser Konzern besonders bereitwillig mit dem britischen Geheimdienst GCHQ zusammenarbeite. Die Autoren rufen unter explizitem Hinweis auf die Gruppen Das Grollen des Eyjafjallajökull, das Hekla-Empfangs-Komitee und die Gruppe Grims Vötn dazu auf, weitere Infrastruktureinrichtungen mittels Sabotage zu blockieren und letztendlich lahmzulegen. Nach einer Meldung in der BKA-Wochenlage vom 23. Dezember setzte ein unbekannter Einzeltäter auf dem Firmengelände eines fleischverarbeitenden Betriebs in Bochum am 15. Dezember einen LKW und zwei Lieferwagen in Brand. Die Fahrzeuge seien komplett zerstört worden. Auf dem LKW sei mit schwarzer Farbe Fleisch ist Mord, Mörder und A.L.F. (Animal Liberation Front) aufgesprüht worden. Nach Videoaufnahmen habe der vermutlich mit einer Maleroverall und einer Kapuze bekleidete Täter die Fahrzeuge beschriftet, mutmaßlich Grillanzünder auf die Vorderreifen gelegt und angezündet. Das betroffene Fleischereiunternehmen sei bereits am 29. Juli 2012 Ziel eines Täters gewesen Das BKA teilt die Einschätzung anderer europäischer Ermittlungsbehörden, dass es sich bei der A.L.F. um keine Gruppierung, sondern um eine allgemeine Bekennung zu Aktionen zum Nutzen für die Tiere handelt.

6 6 Focus on Security Brandschutz Der Sicherheits-Berater fokussiert sich in Nr. 23 vom 1. Dezember auf Brandschutzthemen. Er thematisiert vor allem die Alarmierung im Brandfall, den Brandschutz im IT-Raum, baurechtliche Anforderungen an Metallständerwände, eine neue Produktnorm für Feuer- und Rauchschutztüren und den Brandschutz bei Gebäuden mit Mischnutzung. Zu den Empfehlungen bei der Alarmierung zählen: die Priorisierung der Sprachdurchsage gegenüber dem akustischen Signal, eine Lautstärke von mindestens 65 db(a) und 10 db(a) über dem Umgebungsschallpegel bzw. 75 db(a) bei Schlafplätzen, eine gute Übertragungsqualität der Sprache, grundsätzlich ein Lautsprecher in jedem Raum, in dem sich Personen aufhalten, Einhaltung der DIN EN bei optischer Alarmierung, optische und akustische Alarmierung in öffentlich zugänglichen Gebäuden (S ). Für IT-Räume empfiehlt der Sicherheits-Berater die Installation eines Ansaugrauchmelders mit seinem Ansaugrohr oberhalb der Rackreihe. So werde jedes Rack einer 5er-Reihe überwacht. Und hinter jedem T-Stück eines Serverschrankes werde ein konventioneller Rauchmelder in einem geschlossenen Gehäuse in das Ansaugsystem integriert. Systeme, die essentiell für den IT-Betrieb und grundsätzlich redundant vorhanden sind wie Domänen- und Namensserver sollten in verschiedenen Schränken in möglichst großem Abstand zueinander stationiert werden (S ). Metallständerwände in Trockenbauweise seien heutzutage weit verbreitet. Obwohl sie nach Norm oder nach Einbauanleitung erstellt werden müssen, gebe es viele Fehlerquellen (nicht fachgerechte Anschlüsse, ungenügende Stärke der Beplankung, falsche Durchführung von Kabeln usw.). Diesen Fehlerquellen sollte der Bauherr bereits in der Entstehungsphase der Metallständerwände Aufmerksamkeit schenken, um ein brandschutztechnisch einwandfreies Bauprodukt zu erhalten. Der Sicherheits-Berater führt im einzelnen auf, was bei der Ausführung zu beachten ist (S ). Der Sicherheits-Berater weist darauf hin, dass neue Produktnormen für Feuer- und Rauchschutztüren im Umbruch sind bzw. sich in der Endbearbeitung befinden: DIN EN für Fenster, Türen und Tore, DIN EN für Fenster und Außentüren ohne Eigenschaften bezüglich Feuerschutz und/oder Rauchdichtheit sowie DIN EN für Innentüren ohne Feuerschutz- und/oder Rauchdichtheitseigenschaften (S ). Ferner thematisiert der Sicherheits-Berater den Brandschutz bei Gebäuden, die sowohl gewerblich wie für Wohnungen genutzt werden (S ). Besonders wichtig sei dann der Einsatz von rauchdichten Türen. Immer dort, wo Nutzungsbereiche wechseln, sollten sie eingesetzt werden. Auch Schachttüren sollten mit rauchdichten Klappen/Türen verschlossen werden. Wenn aus betrieblichen Gründen Türen offen stehen, die im Brandfall automatisch schließen, sollten die dazu eingesetzten Rauchmelder vernetzt werden. Schließlich befasst sich der Sicherheits-Berater mit Brandvermeidung und -löschung im Rechenzentrum (S ). Behandelt werden: Brandlastvermeidung, Einsatz von Brand- und Rauchmeldern, Brandfrühesterkennung, Anlagen- und Objektüberwachung, dezentrale unterbrechungsfreie Stromversorgungen, selektiver Objektschutz an den IT-Komponenten, Brandfallsteuerung und qualifiziertes Klimakonzept. Aktuelle Entwicklungen in der Branddetektion behandelt die Fachzeitschrift WiK in der Ausgabe (S. 62/63). Je nach den atmosphärischen Einsatzbedingungen und dem Vorhandensein von Störgrößen wie Staub, Rauch oder Dampf könnten unterschiedliche Detektionssysteme verwendet werden. So stünden für Deponien und Bereiche mit ähnlichen Bedingungen Wärmebildkameras zur Verfügung, die auch in Außenbereichen zur Überwachung von entzündlichem Material einsetzbar seien.

7 Focus on Security Auch Videoüberwachungskameras, die nur sichtbares Licht aufnehmen, stünden mittlerweile zur Branddetektion genutzt, beispielsweise in Tunneln. Vorteile seien die erhebliche Reichweite und dass sie oft ohnehin vorhanden sind. Auch hier gelte mit Blick auf die Vermeidung von Täuschungsalarmen: Es muss nicht immer das hochwertigste Brandfrühesterkennungssystem in ein Objekt eingebaut werden, sondern das von der Empfindlichkeit her passende. In Rauchansaugsystemen arbeite die Sensorik in der Regel nach dem Streulichtprinzip, sowohl mit IR-Licht, Laserlicht oder auch mit Licht im sichtbaren Bereich. Anhand der Partikelgrößen und mit inzwischen ausgereiften Algorithmen werde zwischen Rauch, Staub und Dampf unterschieden. Ein Detektionssystem solle nicht nur sagen, ob und wo es brennt, sondern auch, was brennt. Auch hier würden die Algorithmen inzwischen weiterhelfen. Die Fachzeitschrift GIT behandelt in ihrer Ausgabe mehrere Brandschutzthemen: Katrin Stübe, Wagner Group GmbH, befasst sich mit dem Brandschutz für Offshore-Windparks. Anders als die Windkrafträder ließen sich Umspannstation und Versorgungsplattformen umfassend vor Brandrisiken schützen. Den Kern der Brandschutzeinrichtung für die Umspannstation des Offshore-Windparks Riffgat bilde das Titanus-Ansaugrauchmeldesystem. Insgesamt 334 Einheiten des Systems zur Brandfrüherkennung seien in den verschiedenen Bereichen verbaut worden und entnähmen kontinuierlich Proben aus der Umgebungsluft. Im Falle einer Branddetektion mittels FirExting-Gaslöschtechnik mit Stickstoff werde der Sauerstoffgehalt im Raum auf 13,8 Vol-% abgesenkt. Dass eine Löschanlage nur über einen bestimmten Zeitraum hinweg löschen kann, werde durch die Installation eines OxyReduct-Brandvermeidungssystems ausgeglichen. Einige Bereiche wie die Traforäume seien mit Sprinklertechnik ausgestattet. In Außenbereichen kämen Schaumlöschanlagen zum Einsatz (S. 72/73). Für die frühzeitige Branderkennung, die von größter Bedeutung für Heime ist, in denen Menschen mit eingeschränkter Mobilität leben, bewährten sich Brandmelder, die nicht nur Rauch detektieren, sondern bereits auf die Entstehung des tückischen Brandgases Kohlenmonoxid anschlagen. Die Detektion von Rauch erfolge bei dem Mehrfachsensormelder CMD 533X von Hekatron über das Tyndall-/Streulicht)- Prinzip. Geraten Rauchpartikel zwischen die Quelle des Prüf-Lichtstrahls und den lichtempfindlichen Sensor, so löse der Melder Alarm aus. Bei der Wärmedetektion reagiere der Melder sowohl auf das Überschreiten einer bestimmten Grenztemperatur als auch auf einen überdurchschnittlichen Temperaturanstieg. Die Cubus Nivellierung des Melders werte die einzelnen Kenngrößen im Kontext der relativen Veränderung der jeweiligen anderen Kenngröße aus. Die Melder passten sich aktiv, permanent, automatisch und dynamisch an die Umgebungsbedingungen an (S. 76/77). Peter Eymael, FM Insurance Company Ltd., befasst sich mit Brandrisiken bei der Massenlagerung von Lithium-Ionen-Akkus. Je größer deren Leistungskapazität ist, desto höher sei auch das Brandrisiko. Aus diesem Grund sei eine Studie zur Massenlagerung solches Akkus von FM Global gemeinsam mit der Property Insurance Research Group durchgeführt worden. Ziel sei es gewesen, die Brandrisiken zu bestimmen, die konkreten Gefahrenszenarien zu beschreiben und geeignete Schutzmaßnahmen zu empfehlen. Von den Akkus gingen aufgrund ihrer brennbaren Elektrolytflüssigkeit mehrere besondere Brandgefahren aus. Würden zum Beispiel große Mengen in Wellpappkartons gelagert, sei eine frühzeitige Brandlöschung und Kühlung entscheidend, um einen Großbrand zu verhindern. Da erkannt worden sei, dass die Lithium-Ionen-Akkus während der ersten fünf Minuten in ihrem Brandverhalten den standardisierten Brandgütern gleichen, sei ein Sprinklerschutzkonzept entwickelt worden. Da nach diesen fünf Minuten die Akkus aber erheblich stärker brennen, sei ein

8 8 Focus on Security alleiniger Deckenschutz durch schnell ansprechende Sprinkler möglicherweise nicht ausreichend. Besonders bei Hochregallagern sei es ratsam, ergänzend auf weiteren Ebenen der Hochregale Sprinkler zu installieren (S. 78/79). René Heiser, roda Licht- und Lufttechnik GmbH, erläutert in s+s report (Ausgabe , S ), warum die Wartung von natürlichen Rauch- und Wärmeabzugsgeräten unerlässlich ist. Sie werde durch eine Reihe von Verordnungen verpflichtend gemacht. Bundesweite Musterverordnungen, die Sonderbauverordnung und die landeseigene Prüfverordnungen bezögen sich auf geltende Richtlinien und Normen der DIN. In der DIN sei im Abschnitt 10.2 festgelegt, dass und wie Wartungen in regelmäßigen Zeitabständen durchzuführen sind. In erster Linie seien Umwelteinflüsse für die Beeinflussung der Funktion verantwortlich. Aber auch unsachgemäße Nutzung führe nicht selten zu einem Ausfall von Geräten. Hinzu komme Materialverschleiß. Auch um Versicherungsschutz in Anspruch nehmen zu können, sei die regelmäßige und sachgemäße Wartung unumgänglich. Business Continuity Management (BCM) Arno Gingl und Dr. Michael Buser, Risk Experts Risiko Engineering GmbH, befassen sich in s+s report (Ausgabe , S ) mit BCM in Mittelstandsunternehmen. Die meisten Unternehmen seien auf Notfallszenarien nicht adäquat vorbereitet oder gingen bei der Planung von Vorsorgemaßnahmen von unrealistischen meist zu optimistischen Annahmen aus. Hauptverantwortlich seien bei 40 % der Befragten in einer Online-Umfrage die Geschäftsführer, nur jedes zehnte Unternehmen verfüge über einen eigenen BCM. Im Bereich der organisatorischen Maßnahmen beschränkten sich zwei von drei Unternehmen auf Datenbackup. Versicherung gegen eine etwaige Betriebsunterbrechung sei die mit 50 % am zweithäufigsten genannte Maßnahme. Es werde auch nicht im erforderlichen Umfang im Rahmen von Notfallübungen trainiert. Change Management Dass von einem Transformationsprozess, den ein Unternehmen durchläuft, Corporate Security nicht unberührt bleiben kann, zeigt Dr. Heinz-Dieter Schmelling, Portigon AG, in der Fachzeitschrift Security insight (Ausgabe , S. 22/23). Die Unternehmenssicherheit müsse schon in das Projektmanagementverfahren eingebunden werden und das Projekt als definierter Stakeholder in den weiteren Phasen begleiten und unterstützen. Je umfassender Berechtigungen durch zentrale Systeme und Prozesse gehandhabt werden, desto eher sei gewährleistet, dass den Prinzipien der Aktualität, Angemessenheit und Funktionstrennung auch bei dynamischen Organisationsveränderungen ausreichend Rechnung getragen wird. Die Migration von Assets und Daten, die bei einer Unternehmenstransaktion stattfinden, müssten lückenlos überwacht und dokumentiert werden. Eine zentrale Governance für Richtlinien, Methoden und Werkzeuge der Notfallplanung in Verbindung mit dezentraler Business-Verantwortung für die konkrete Ausgestaltung und Umsetzung der Notfallpläne seien das Erfolgsrezept auch bei Umstrukturierungen.

9 Focus on Security Flughafensicherheit Stefan Schaffner, Vero Certus GmbH, konzentriert sich in der Fachzeitschrift GIT, Ausgabe (S. 28/29) auf die interne Flughafensicherheit. Eine der wesentlichen Kernaufgaben eines Sicherheitsmanagers im Flughafenbereich sei es, sowohl die aktuellen Sicherheitsbestimmungen mit den betrieblichen Erfordernissen tagesaktuell abzugleichen, als auch neu auftretende Lücken im Sicherheitsnetz zu schließen. Um die Vergabe und das Lifecycle Management von Zutrittsberechtigungen in dem heterogenen Umfeld eines Flughafens sicher abdecken zu können, würden die Experten von Vero Certus die Nutzung übergeordneter Physical Identity & Access Management Systeme oder die Integration der ZuKo über Middleware- Lösungen empfehlen. Um die Einhaltung der Vorgaben auch im Live-Betrieb stets im Blick zu halten, biete sich zudem der zielgerichtete Einsatz von übergreifenden Sicherheitsmanagement Lösungen der Gattung Physical Security Information Management an, die eine zielgerichtete Videoüberwachung mit einem Incident Management im zentralen Sicherheitsleitstand vereinen. Gefahrenmeldetechnik WiK (Ausgabe , S. 60/61) berichtet über relevante Neuerungen der Richtlinien VdS 2311, Neuerungen in den Bereichen normative Verweisungen, Alarmierung, Körperschallmelder, Wertbehältnisse sowie zulässige und unzulässige Normabweichungen. So wurde für die Alarmierung die Möglichkeit geschaffen, bei wiederholt auftretenden netzbedingten Ausfällen einer stehenden IP-Verbindung die Meldung des Ausfalls der IP-Verbindung über den Ersatzweg für eine begrenzte Zeit um bis zu 180 Sekunden verzögert an die NSL zu übertragen. Neu sei auch die Möglichkeit der Realisierung einer bedarfsgesteuerten IP-Verbindung durch eine stehende IP-Verbindung, die mit 5- bzw. 25-stündlicher Funktionsüberwachung betrieben wird. Die Hinweise zum Betrieb von Schlüsseldepots sowie das zugrundeliegende Merkblatt VdS 5005 mussten aufgrund geänderter rechtlicher Rahmenbedingungen angepasst werden. Geldautomatensicherheit Dank moderner Technik kämen Datendiebe am Geldautomaten immer seltener zum Zug, berichtet die FAZ am 27. Dezember. In den ersten 11 Monaten des Jahres 2013 sei der Schaden durch das sogenannte Skimming von 20 Millionen Euro im Vorjahreszeit raum auf rund 11 Millionen Euro gesunken. Die positive Entwicklung sei vor allem auf die EMV-Technik (Standard der drei Gesellschaften MasterCard Europe, MasterCard und Visa) zurückzuführen. Durch sie werde die Echtheit der Karte sowohl an Geldautomaten als auch an den Terminals im Handel überprüft. Skimming-Schäden innerhalb des Girocard-Systems seien daher ausgeschlossen. Deshalb müssten Betrüger in ferne Länder reisen, um mit den in Deutschland entwendeten Daten auch Geld zu erbeuten. Der EMV-Sicherheitsstandard sei vor mehr als zwei Jahren flächendeckend in Europa eingeführt worden. Inzwischen trügen alle fast 100 Millionen ausgegebenen Girocards den EMV-Chip, und auch alle Geldautomaten sowie die rund Terminals im Handel in Deutschland akzeptierten ausschließlich Girocards mit diesen Chips. Bei diesen Karten werde der Datensatz verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft.

10 10 Focus on Security Geldwäsche Eine Analyse von Thomson Reuters habe ergeben, dass kriminelle und terroristische Organisationen zunehmend digitale Krypto- Währungen nutzen, um illegale Einnahmen zu verschleiern oder verdeckte Finanztransaktionen durchzuführen. Ein Vorteil solcher Währungen sei es, dass damit Gelder weitgehend unbemerkt und anonym bewegt werden können. Wirtschaft und Strafverfolgungsbehörden stünden daher vor der Herausforderung, neue Wege zu gehen, um entsprechende Geldwäsche-Modelle zu identifizieren und zu bekämpfen. Das berichtet die Fachzeitschrift WiK in der Ausgabe (S. 18/19). Überall dort, wo sich Schnittstellen zwischen realen und virtuellen Währungen ergeben, finde auch Geldwäsche statt. Die Mehrheit der Ermittler sei der Meinung, dass Geldwäsche mit digitalen Währungen in Zukunft eine immer größere Rolle spielen werde. Laut einer aktuellen Studie von BearingPoint wird die Bekämpfung von Geldwäsche immer wichtiger, eine steigende Zahl an gesetzlichen Bestimmungen erhöhe den Druck auf Finanzinstitute massiv. Die Zahl der von den Banken gemeldeten Verdachtsfälle habe sich in den letzten drei Jahren um rund 40 % erhöht. Aber 35 % der Banken überprüften nicht, woher das angelegte Geld ursprünglich stammt. Grenzüberschreitende Geldwäscheaktivitäten seien eine weitere Achillesferse der Banken. Grenzkriminalität Viele Handwerksbetriebe an der Grenze zu Polen seien von Diebstählen betroffen und deshalb zunehmend frustriert, meldet die FAZ am 10. Dezember. Die Angst vor Kriminalität gefährde den Standort, habe der Präsident der Dresdner Handwerkskammer gesagt. 58 % der Unternehmen im LK Görlitz und 46 % im Spree/Neiße-Kreis sähen die Situation kritisch. Im Dresdner Raum verbuchten 40 % der befragten Betriebe einen wirtschaftlichen Schaden durch Kriminalität. Im KFZ-Gewerbe seien es sogar 67 %. Die Kammern forderten unter anderem mehr Präsenz von Polizei und Bundespolizei. Außerdem sollten die Länder Schutzvorkehrungen in den Unternehmen fördern. Die Justiz müsse schneller und härter durchgreifen. Hotelsicherheit Wie zuverlässiger Brandschutz im Hotel gestaltet sein muss, ohne die Ästhetik des Interieurs zu beeinträchtigen, wird von PRO- TECTOR in der Ausgabe 12/13 (S. 32/33) thematisiert. Ein Rauchansaugsystem sei um ein Vielfaches sensibler, zuverlässiger und damit effizienter als Punktmelder. Die konkret beschriebenen Varianten Titanus Pro-Sens und Titanus Micro-Sens seien bis zu mal sensibler als herkömmliche Rauchmelder. Die patentierte Logic Sens -Brandmustererkennung verifiziere die Signale des Detektors im Ansaugrauchmelder auf gängige Brandmuster, erkenne umweltbedingte Störgrößen automatisch und könne somit vermeidbare Fehlalarme verhindern. Dies sei für Hotelbetreiber wichtig, damit das Gebäude nicht wegen Fehlalarmen unnötig geräumt werden müsse. Aufgrund der Möglichkeit, das System individuell an architektonische Besonderheiten anzupassen, eigneten sich die Ansaugrauchmelder perfekt für traditionsreiche oder moderne, architektonisch anspruchsvolle Gebäude. In derselben Zeitschriftenausgabe werden Undercover-Sprinkler für Hotels empfohlen (S. 35). Für Aufenthaltsbereiche wie Ho-

11 Focus on Security telzimmer, Flure, Büro- und Konferenzräume oder Wellness-Oasen seien Sprinkleranlagen die gängigste Löschtechnik. Für Restaurantküchen, in denen Fettbrände ein besonderes Risiko darstellen, wird eine Küchenschutzanlage (KS 2000) mit dem speziell zugelassenen Löschmittel Febramax empfohlen, das als fein versprühter Schaum und mit Wasser wirke. Es bilde eine Sperrschicht auf dem Fett oder Öl und schneide die Sauerstoffzufuhr ab, während der Wasseranteil das Fett unter die Selbstentzündungstemperatur abkühle. IT-Sicherheit Die ASW weist am 30. November auf die Veröffentlichung des ICS Security Kompendium des BSI hin, ein Grundlagenwerk für die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen (Industrial Control Systems). Es ermögliche sowohl IT-Sicherheits- als auch ICS-Experten einen einfachen Zugang zum Thema IT-Sicherheit in industriellen Steuerungsanlagen. Es bilde den Rahmen für verschiedene Anwendungsbereiche industrieller Steuerungssysteme und diene als gemeinsame Basis für Experten in Anwendungsgebieten wie Fabrikautomation und Prozesssteuerung. Es eigne sich auch für einen Einsatz in Lehre und Ausbildung, als Einstiegslektüre für Berufsstarter, aber auch zur Sensibilisierung von Herstellern, Integratoren und Betreibern. Darüber hinaus biete es eine Grundlage, auf der entsprechende Verbände und Organisationen weitergehende, sektorenspezifische Sicherheitsanforderungen oder Handlungsempfehlungen erarbeiten können. Es lege den Schwerpunkt auf die Grundlagen sowie Empfehlungen zur Cyber- Sicherheit für Betreiber industrieller Anlagen solle es mit weiteren Sicherheitsthemen fortgeschrieben werden. Das Kompendium stehe kostenfrei auf der Webseite des BSI (unter https://www.bsi.bund.de/ics-security- Kompendium) als Download zur Verfügung. Der Ruf nach einem nationalen Internet sei im Zeichen der Geheimdienstaffäre wieder laut geworden, schreibt die FAZ am 3. Dezember. Und die Deutsche Telekom habe jüngste Pläne für ein sogenanntes Schengen- Routing vorgelegt. Internetprovider und Sicherheitsexperten bewerteten diese Pläne unterschiedlich. Um den innerdeutschen Datenverkehr nur über Server in Deutschland laufen zu lassen, müssten die Server- und Leitungskapazitäten erheblich ausgebaut werden. Die Abwicklung sämtlichen Datenverkehrs über die Netzknoten der Schengen- Staaten würde mit der sukzessiven Einführung des neuen Internetprotokolls Version 6 in technischer Hinsicht immer einfacher. Aber von mehreren Seiten rege sich Widerstand gegen die Pläne der Telekom. Sie würde vom Schengen-Routing oder gar einem nationalen Internet erheblich profitieren, denn ihr gehöre ein Großteil der Leitungsinfrastruktur in Deutschland. Sicherheitsexperten gäben zudem zu bedenken, dass mit Blick auf den Datenschutz und bei der Verhinderung von Datenspionage nicht allzu viel mit solchen Routingplänen zu holen sei. Die Internet Engineering Task Force (IETF) diskutiert nach einer Meldung von heise online vom 1. Dezember, ob man die Anonymisierungssoftware Tor nicht zu einem Internet- Standard weiterentwickeln kann. Tor ist eine Anonymisierungstechnik, bei deren Einsatz die Kommunikationspartner die IP-Adresse ihres Gegenübers nicht erfahren. Um die beiden Endstellen einer Verbindung über das Tor-Netzwerk zu identifizieren, sei ein sehr viel größerer Aufwand nötig als im normalen Internet. BKA-Präsident Ziercke habe unlängst Tor als größte Herausforderung für die Kriminalistik bezeichnet, deren Nutzung er am liebsten unter staatliche Aufsicht stellen würde. Microsoft bestätigt nach einer Newsmeldung vom 5. Dezember Verschlüsselungspläne wegen NSA-Zugriffen. Man wolle die dienste-

12 12 Focus on Security übergreifende Verschlüsselung bei Outlook. com, Office 365, SkyDrive und Windows Azure ausdehnen. Zum Einsatz kommen sollen dabei Perfect Forward Secrecy und 2048 Bit-Keys. Die Agentur für Netz- und Informationssicherheit der EU (ENISA) hat nach einer Meldung von heise online vom 5. Dezember einen Ratgeber zum Aufbau von CERTs für Sicherheitslücken in industriellen Kontrollsystemen herausgegeben. Der Leitfaden richte sich an Organisationen aus den Mitgliedsländern der EU, liste empfohlene Prozesse und Erfahrungswerte auf und gebe Hilfestellung für die Einrichtung eines CERT. Nach der US-Standardisierungsbehörde NIST und dem BSI sei dies das dritte in letzten Monaten erschienene Dokument, das sich mit der Absicherung von kritischer Computerinfrastruktur befasst. Anders als die Leitlinien des BSI und der NIST, die sich auch mit Prävention in den Unternehmen beschäftigen, setze sich das ENISA-Papier hauptsächlich mit organisatorischen Abläufen bei CERTs auseinander. Die Deutsche Telekom wolle ihre 38 Millionen Handykunden in Deutschland mit einer neuen Sicherheitstechnologie besser vor neugierigen Mithörern schützen, berichtet die FAZ am 10. Dezember. Der Konzern werde für Telefonate auf GSM-Netz, über das die allermeisten Mobilfunkgespräche laufen, zum Jahreswechsel den Verschlüsselungsstandard A5/3 einführen, habe das Unternehmen mitgeteilt. Damit seien Gespräche im GSM-Netz besser gegen Abhören gesichert. Die Telekom sei der erste Mobilfunkanbieter in Deutschland, der die Technik landesweit einsetze. Bis zum Jahreswechsel solle die Umstellung, für die Handy-Basisstationen aufgerüstet werden, abgeschlossen sein. Im UMTS- und LTE-Netz, auf dem in erster Linie Daten übertragen werden, seien ähnlich starke Verschlüsselungen bereits im Einsatz. Die bislang auf dem GSM-Netz eingesetzte Sprachverschlüsselung gelte seit Jahren als unsicher. Ob mit der neuen Technologie Handynutzer vor den großen Ohren der NSA sicher sind, sei offen. Die elektronische Kommunikation zwischen Bürgern und Ämtern habe dem D - Standard zu folgen, so verlangt es das Anfang August in Kraft getretene E-Government-Gesetz (FAZ am 12. Dezember). Doch den hätten nur die Deutsche Telekom, der Internetanbieter 1&1 und Francotyp Postalia im Angebot. Die Deutsche Post hatte sich im Frühjahr aus dem Zulassungsverfahren verabschiedet, weil sie die Vorschriften für die Identifizierung der Kunden nicht hinnehmen wollte. Nun versuche das Unternehmen aber einen neuen Anlauf. Neue Zahlen von 1&1 deuteten darauf hin, dass sich zumindest die Unternehmen verstärkt mit der rechtsverbindlichen digitalen Kommunikation befassen. Etwa zwei Drittel planen demnach bereits mit D . Auch bei der Telekom klopften immer mehr Großkunden an, gerade aus der öffentlichen Verwaltung. Inzwischen stehe man mit mehr als 300 Städten und kommunalen Unternehmen in konkreten Gesprächen. Die Post versuche, ihren E-Postbrief mit Zusatzanwendungen wie Zahlungsfunktionen und dem Postscan, einem elektronischen Nachsendeservice für Briefe, attraktiver zu machen. Mehrere Themen der IT-Sicherheit behandelt die Fachzeitschrift <kes> in der Ausgabe : Holger Gerlach und Felix Preussner, Schutzwerk GmbH, plädieren für einen praxisorientierten Umgang mit Schatten-IT. Sie könne sogar das Gesamtsicherheitskonzept eines Unternehmens kompromittieren. Doch sie lasse sich auch als Chance verstehen, Geschäftsprozesse zu optimieren und den IT- Betrieb effizienter zu gestalten. Um Schatten- IT möglichst von vornherein zu vermeiden, seien keine außergewöhnlichen Maßnahmen erforderlich. Es müsse zunächst gelingen, der Geschäftsleitung und den Fachbereichsverantwortlichen den stetig steigenden Stellenwert der IT für den Unternehmenserfolg zu vermitteln. Ein konsequent umgesetztes Informationssicherheitsmanagement liefere

13 Focus on Security hierzu die notwendige Transparenz bezüglich der IT-Abhängigkeit aller kritischen Geschäftsprozesse. Daraus sollte einerseits eine zunehmende Sensibilität der Fachbereichsverantwortlichen erwachsen, andererseits werde der Weg für die benötigten zusätzlichen Ressourcen bereitet (S ). Dipl.- Inf. (FH) Thomas Werth, Werth IT GmbH, gibt einen Überblick über Risiken von SAP-Systemen und Gegenmaßnahmen. Sicherheitsrisiken bei SAP, die weit über die Probleme und Möglichkeiten des Berechtigungskonzepts hinausgehen, seien Realität. Allein die große Zahl an SAP Security Notes verdeutliche diesen Umstand. Zur Wahrung der Systemsicherheit seien deswegen umfassende Tests ratsam. Um vorhandene Schwachstellen in SAP schnell zu identifizieren, zu priorisieren und zu beheben, erscheinen letztlich auch automatisierte Prüfungen unumgänglich (S ). Dr. Frank Jestczemski, adesso AG, und Marc Müller, BSI, erläutern den seit dem Frühjahr 2013 verfügbaren Leitfaden Risikoanalyse Krankenhaus-IT (RiKrIT) des BSI, des BBK und der Senatsverwaltung für Gesundheit und Soziales des Landes Berlin, der eine Methode beschreibt, mit der Krankenhäuser kritische IT-Abhängigkeiten und daraus erwachsende Risiken identifizieren und bewerten könnten. Die Autoren beschreiben die vier aufeinanderfolgenden Schritte der Methode: vorbereitende Aktivitäten, Analyse der Kritikalität; Identifizierung und Bewertung der Risiken und ihre Behandlung. Faktoren der Wahrscheinlichkeit bei vorsätzlichen Handlungen werden bewertet und Kriterien der Bewertung der Auswirkungen eines Schadensereignisses dargestellt (S ). Isabel Münch und Marc Schober, BSI, befassen sich mit der Allianz für Cyber-Sicherheit, einer Initiative des BSI in Zusammenarbeit mit BITKOM. Sie habe sich bereits im ersten Jahr als eine der führenden Plattformen für den Informations- und Erfahrungsaustausch zur Cybersicherheit etabliert. Die Autoren gehen insbesondere auf den Informationspool, den Erfahrungsaustausch zwischen den Teilnehmern, auf regionale und themenspezifische Erfahrungskreise und auf einen praxisnahen Handlungsleitfaden zur Beurteilung der Cybersicherheit im Unternehmen mit dem Cyber-Basis-Check ein (S ). Frank Weisel, Forescout, behandelt eine neue Version (3.0) des Richtlinienkatalogs der Payment Card Industry (PCI) und Neuerungen beim Payment Application Data Security Standard (PA DSS). Mit der Einführung der neuen Richtlinien verspreche sich das PCI Security Standards Council vor allem einen vermehrten Fokus auf Sicherheit. Zahlungssicherheit solle alltäglicher Bestandteil der Geschäftsvorgänge sein. PCI biete Unternehmen detaillierte und pragmatische Anleitungen, die auch weit über die Zahlungsmittelindustrie hinaus anwendbar seien. Besondere Beachtung verdienten die Ergänzungen und Erläuterungen in den Bereichen Bewerten und Priorisieren von Asset-Risiken, Sicherstellen der Systemintegrität, Durchsetzen geeigneter Zugriffsverfahren auf Netzwerk- und Systemressourcen sowie Verbesserungen bei der Schwachstellenbewertung, Protokollierung und Reaktion auf Sicherheitsvorfälle (S ). Dieter Schweisfuhrt, SIZ GmbH, behandelt den sicheren Datenaustausch beim E-Banking. Mit EBICS (Electronic Banking Internet Communication Standard) sei ein Kommunikations- und Sicherheitsstandard geschaffen worden, der das Electronic Banking für Firmenkunden im Internet auf sichere Weise möglich mache. Er bringe anwendungsbezogene Verschlüsselungs-, Authentifikations- und Autorisierungsverfahren auf Basis aktueller Krypto-Technologien zum Einsatz. Neben sicheren Filetransferstandards bedürfe es aber auch entsprechend sicherer Lösungen und Produkte wie die ausfallsichere Filetransferplattform TRAVIC-Link (S. 73/73). Dr. Markus Müller, secunet Security Networks AG, befasst sich mit Web Application- Firewalls, die dediziert auf den Schutz von Webapplikationen und -services ausgelegt seien und diverse Mechanismen zum Schutz gegen die Bedrohungen gemäß OWASP (Open Web Application Security Project) mitbrächten. Denn mit klassischen Schutzkomponenten wie Netzwerk-Firewalls seien

14 14 Focus on Security Angriffe auf Webapplikationen nicht zu verhindern. Der Autor beschreibt notwendige Schutzmaßnahmen: Maßnahmen zur Härtung der Plattform gegen Web-Angriffe, Maßnahmen zur Härtung von Webapplikationen, Next Generation-Firewalls und Web Application- Firewalls (S ). Dipl.-Inf. Alexander von Gernler, genua mbh, warnt davor, dass bei heute verbreiteten Virtualisierungstechniken Vorteile durch Einbußen bei der Sicherheit erkauft würden. Als Alternative biete sich eine Separationslösung mit Microkernet-Technologie an, die eine Plattform für virtualisierte Lösungen mit einem hohen Schutzniveau schaffe. Durch die Separation wesentlicher Systemfunktionen eröffneten sich viele interessante Perspektiven für neue hochsichere Plattformen und Produkte (S ). Dr. Ing. Oliver Weissmann, Co-Editor der ISO/IEC und ISO/EC 27003:2010, und Dipl.- Inf.(FH) Andreas Rauer, xiv-consult GmbH, erläutern die zum 1. Oktober 2013 veröffentlichten neuen Fassungen der ISO/IEC- Normen und 27002, die umfassend überarbeitet und an die einheitliche Struktur für Managementsystemstandards angepasst und in den technischen Bereichen aktualisiert worden seien. Die Revision der ISO/IEC bedeute sowohl für bestehende als auch für in der Einführung befindliche ISMS entscheidenden Mehraufwand. Dafür werde die Risikomanagementmethodik flexibler. Bei der Revision der ISO/IEC ergäben sich durch die größeren Änderungen vor allem Vorteile bezüglich der Ausrichtung auf die Organisationsstrategie und die Einbeziehung des Supply Chain-Management. Und die häufig hakelige und redundante Struktur sei deutlich verbessert worden, so dass die Implementierung leichter werde (S ). heise online meldet am 14. Dezember, dass die von BITKOM zusammen mit dem BSI 2012 gegründete Allianz für Cyber- Sicherheit ihren Mitgliederbestand deutlich erhöhen konnte. Momentan seien es bereits 580 Teilnehmer. Wie die ASW am 22. Dezember mitteilt, gebrauchen aktuell rund 5 Millionen Bundesbürger für ihre s eine Verschlüsselungssoftware. Das entspreche 9 % der Inter netnutzer. Kurz nach Aufdeckung der NSA- Spähaktionen seien es erst 6 % gewesen. Trotz des Anstiegs würden weiterhin die meisten Nutzer den Einsatz von Verschlüsselungssystemen scheuen. 61 % geben als Grund dafür an, dass sie sich damit nicht aus kennen. Immerhin 13 % halten auch Verschlüsselungssoftware nicht für sicher. Und 8 % der Internetnutzer störe es nicht, wenn ihre Daten von Dritten eingesehen werden. Ein Viertel halte Verschlüsselung grundsätzlich für zu aufwändig. Dass die meisten deutschen Internetnutzer durch die NSA-Enthüllungen nichts an ihrem Verhalten im Netz ändern, berichtet auch die FAZ am 30. Dezember. Nur rund jeder Fünfte wolle künftig Online-Dienste weniger nutzen oder setze zusätzliche Vorkehrungen wie Verschlüsselung ein, wie eine repräsentative Umfrage des Meinungsforschungsinstituts You Gov im Auftrag der dpa ergeben habe. Dabei glaubten 84 % der Befragten, dass die Überwachung durch den NSA und seinen britischen Partner GCHQ gegen die Bürgerrechte in Deutschland verstößt. Zugleich fühlten sich aber nur 45 % in ihren persönlichen Rechten eingeschränkt. Während europäische Anbieter von Online-Diensten hofften, ihre Marktposition mit Rückenwind der Enthüllungen ausbauen zu können, erklärten 65 % der Befragten, dass sie Internet-Angebote aus Deutschland nicht für sicherer halten als Dienste von amerikanischen Unternehmen. IuK-Kriminalität Nach einer Meldung der FAZ vom 28. November müssen Bankkunden, die das Internet nutzen, einen neuen Namen kennenlernen: Neverquest. Das sei der Name eines

15 Focus on Security sogenannten Trojaners, der schon Tausende Computer auf der Welt attackiert habe, die für Online-Banking genutzt werden. Er stehle Nutzernamen und Passwörter von Bankkonten sowie Daten, die von Anwendern auf manipulierten Websites von Banken eingegeben werden. Spezielle Programmzeilen für die Internetbrowser Internet Explorer und Firefox ermöglichten den Datendiebstahl offenbar, indem sie dem Schädling Kontrolle über die Verbindung des Browsers mit den Steuerungs-Netzwerkrechnern der Cyberkriminellen ermöglichen. Dies geschehe, sobald Seiten aufgerufen werden, die auf einer Liste mit derzeit 28 Websites stünden. Darunter seien große internationale Banken zu finden sowie Online-Bezahldienste. Mit einer weiteren Funktion könnten Cyberkriminelle ihre Liste mit neuen anvisierten Banken auffüllen und den Code auf neuen Websites platzieren, die zuvor nicht auf der Liste kompromittierter Websites standen. Das Hauptziel von Neverquest scheine nach den Angaben des Sicherheitssoftwareunternehmens Kaspersky, das die entsprechenden Informationen streut, bisher eine Plattform für die Verwaltung von Investmentfonds zu sein. Der Trojaner mit vollem Namen Trojan-Banker.Win32/64Neverquest sei zudem dazu in der Lage, sich selbst zu replizieren. Nach einer Meldung in der FAZ am 20. Dezember haben unbekannte Hacker möglicherweise Bankkarten-Daten von rund 40 Millionen Kunden des amerikanischen Discounters Target erbeutet. Die Angreifer hätten die Informationen wohl über zwei Wochen lang abgegriffen. Unter anderem seien die Magnetstreifen der Karten gestohlen worden. Mit diesen Daten könnten gefälschte Karten produziert werden. Immer mehr Schädlinge tragen nach einer Meldung von heise online vom 20. Dezember eine gültige digitale Signatur. Die Unterschriften würden dabei typischerweise mit gestohlenen Entwicklerzertifikaten erstellt. Microsoft warne jetzt vor mehreren Schädlingsfamilien und rufe Entwickler dazu auf, besser auf ihre Zertifikate aufzupassen. Das Problem sei, dass digital signierte Dateien als vertrauenswürdiger gelten als solche ohne Unterschrift. Kartellrechtsverstöße Kartellamt freut sich über seine Schlagkraft, titelte die FAZ am 28. Dezember. Die Kartellwächter hätten 2012 in 11 Fällen insgesamt 240 Millionen Euro an Bußgeldern verhängt. Diese Sanktionen hätten 54 Unternehmen und 52 Privatpersonen etwa aus der Schienenbranche und der Mühlenindustrie, ferner im Bereich von Süßwaren, Haushaltsgeschirr und Drogerieartikeln getroffen. Kommunikationssicherheit Die NSA zapft nach Informationen des Spiegel eine der wichtigsten Telekommunikationsverbindungen zwischen Europa und Asien an, meldet die FAZ am 30. Dezember. Es sei ihm gelungen, Informationen über das Netzwerkmanagement des Dea-Me-We- 4-Unterwasserkabelsystems zu erlangen, heiße es in einem als streng geheim eingestuften Dokument vom 13. Februar 2013, das die Zeitschrift eingesehen haben will. Das Kabelsystem verlaufe dem Bericht zufolge vom französischen Marseille aus über Nordafrika und die Golfstaaten nach Pakistan und Indien und von dort weiter bis nach Singapur, Malaysia und Thailand. Zu den Anteilseignern gehörten der halbstaatliche französische Konzern Orange und Telecom Italia.

16 16 Focus on Security Korruption Nach dem vom Bundeskriminalamt im Dezember 2013 veröffentlichten Bundeslagebild Korruption für das Jahr 2012 ist sowohl die Zahl der Ermittlungsverfahren als auch die der im Rahmen dieser Verfahren polizeilich registrierten Straftaten zurückgegangen. Bedingt durch den statistischen Einfluss umfangreicher Ermittlungskomplexe betrug der Rückgang gegenüber dem Jahr % auf Korruptionsstraftaten. Dagegen ist die Zahl der Begleittaten um 32 % auf angestiegen. Die Situation der Korruption sei in Deutschland seit Jahren durch folgende Kernaussagen gekennzeichnet: Korruptive Verbindungen zwischen Gebern und Nehmern sind in der Regel längerfristig angelegt. Der Anteil dieser sogenannten strukturellen Korruption beträgt mehr als 80 %. In mehr als der Hälfte der Verfahren stehen Geber und Nehmer über einen Zeitraum von drei Jahren oder länger in einer korruptiven Beziehung zueinander gehörten 17 % der Geber der Baubranche und 16 % dem Dienstleistungsgewerbe an. 14 % waren Privatpersonen, 10 % waren im Handel tätig. In etwa 75 % der Fälle sind die Funktionen der Geber bekannt. In mehr als 60 % der Verfahren hatten sie Leitungsfunktionen inne: 35,7 % als Geschäftsführer, 16,4 % als Firmeninhaber, 12,9 % als leitende Angestellte. Korruption verursacht hohe Schäden betrug der festgestellte bzw. geschätzte Schaden rund 354 Millionen Euro. Der durch die korruptive Erlangung von Aufträgen und Genehmigungen entstehende Schaden lässt sich allerdings nur vage schätzen. Hinzu kommt ein großes Dunkelfeld nicht ermittelter Korruptionen. Die Vorteile für die Geber lagen zu 56 % in der Erlangung von Aufträgen, zu 12,4 % in der Erlangung einer behördlichen Genehmigung, zu 6,5 % in sonstigen Wettbewerbsvorteilen. Die Nehmer waren im Jahr 2012 zu 55 % Amtsträger, zu 34,8 % ein Unternehmen. In 87 % der Verfahren ist die Funktion des Nehmers bekannt. In 50,8 % der Fälle waren es Sachbearbeiter, in 34,6 % leitende Funktionäre, in 4,5 % der Fälle Bürgermeister. Die Vorteile bestanden für die Nehmer zu 36,4 % in Bargeld, zu 36,3 % in Sachleistungen, zu 10,2 % in Bewirtungen, zu 4,7 % in der Teilnahme an Veranstaltungen. Korruption ist Kontrollkriminalität. Erfolge in der Bekämpfung dieser Form der Kriminalität hängen stark von der Gewinnung qualifizierter Hinweise ab. Rund zwei Drittel der Verfahren wurden auf entsprechende externe Hinweise hin eingeleitet. Die in vielen Unternehmen geschaffenen Compliance- Strukturen dürften dazu beigetragen haben. Wie das Handelsblatt am 3. Dezember berichtet, hat Transparency International den aktuellen Korruptionsindex veröffentlicht. Er ermittele, wie korrupt die öffentliche Verwaltung in einem Land ist. Er gründe auf Studien und Einschätzungen renommierter unabhängiger Institute. Fallzahlen von Bestechlichkeit in öffentlichen Ämtern ließen dagegen keine eindeutige Bewertung zu. In keinem europäischen Land sei Korruption so stark verbreitet wie in Griechenland. Es belege Platz 80 unter 177 Staaten weltweit. Deutschland komme mit 78 von 100 möglichen Punkten auf Platz 12. Am unbestechlichsten seien der Studie zufolge die Verwaltungen in Dänemark und Neuseeland. Den letzten Platz teilten sich wie im vergangenen Jahr Afghanistan, Nordkorea und Somalia. Besonders stark habe sich Spanien verschlechtert. Es sei nur auf Platz 40 gelandet. Die engen Beziehungen zwischen Politikern und Bauunternehmen hätten in der Vergangenheit die Immobilienblase gefördert. Zehn Jahre nach Verabschiedung einer Konvention gegen Korruption durch die UN habe die deutsche Wirtschaft die künftige Bundesregierung aufgefordert, das Abkommen ebenfalls zu unterzeichnen, meldet die FAZ am 10. Dezember. Für deutsche Unternehmen stelle die fehlende Ratifizierung eine zunehmende Belastung bei ihren Auslandsaktivitäten dar. Immer wieder wür-

17 Focus on Security den sie auf die Nichtumsetzung der Konvention angesprochen, insbesondere wenn sie sich bemühen, mit ausländischen Partnern Vereinbarungen zur Korruptionsbekämpfung einzugehen. Enthüllungen eines ehemaligen Spitzenbeamten im griechischen Verteidigungsministerium bringen nach einem Bericht der FAZ vom 30. Dezember deutsche Rüstungshersteller in Bedrängnis. Danach soll beim Verkauf von 1709 Kampfpanzern des Typs Leopard 2A6 für rund 1,7 Milliarden Euro nach Griechenland Schmiergeld in Höhe von 1,7 Millionen Euro aus Deutschland geflossen sein. Die vor mehr als 12 Jahren erfolgten Zahlungen kämen wohl von einem griechischen Repräsentanten von Kraus-Maffei. Der Hersteller, der nach der Fusion mit Wegmann heute als KMW firmiert, stelle den Leopard gemeinsam mit Rheinmetall her. Der ehemalige Spitzenbeamte Antonios Kantas, der 1996 bis 2002 als stellvertretender Einkaufschef für die Rüstungseinkäufe der griechischen Militärs zuständig gewesen sei, habe zugegeben, für Waffeneinkäufe aus Deutschland, Frankreich, Russland, Nordamerika und Israel Schmiergeld von insgesamt 16 Millionen Euro kassiert zu haben. Die Bestechungsvorwürfe würden von KMW bestritten. Das Unternehmen verpflichte seine Mitarbeiter und Geschäftspartner, sich strikt rechtmäßig zu verhalten. Der Auftrag aus Griechenland sei sorgfältig überwacht worden. Kantas habe bei seiner Vernehmung weitere Geschäfte mit deutschen Rüstungsherstellern genannt, für die er Schmiergeld erhalten habe. Dabei sei es beispielsweise um die Modernisierung von U-Booten durch Rheinmetall und den heute von Thyssen-Krupp geführten Ausrüster Atlas gegangen. Am selben Tag berichtet die Zeitung, in der südchinesischen Provinz Hunan seien mehr als 500 Delegierte des Volkskongresses wegen Bestechlichkeit suspendiert worden. Sie hätten gegen Geld gut 50 Abgeordnete in die Provinz-Vertretung gewählt. Auch diese Funktionäre seien ihrer Ämter enthoben worden. Insgesamt sollen umgerechnet 13 Millionen Euro geflossen sein. Die von der Kommunistischen Partei herausgegebene Volkszeitung habe in einem Kommentar eine umfassende Untersuchung des Skandals gefordert. Die chinesische Führung habe unlängst eine härtere Gangart gegen Korruption angekündigt. Krisenkommunikation Tina Glasl, Tina Glasl Kommunikation, empfiehlt in der Ausgabe der Zeitschrift PROTECTOR (S. 44) folgende Sofortmaßnahmen im Krisenfall: - umgehende Sprachregelung; Festlegung der Sprecherrollen - Überprüfung und gegebenenfalls Stopp aller möglicherweise parallel zum Kri- senfall star ten den Kommunikations- und Marketingaktivitäten - Check, ob Medien oder andere Zielgruppen bereits über das Thema Bescheid wissen - Beantwortung fallbezogener Anfragen von Medien, Kunden, Betroffenen - fallbezogene Arbeitsanweisungen an Mitarbeiter mit Kontakt nach außen. Logistiksicherheit Über einen Vortrag von Prof. Dr. Thorsten Blecker, TU Hamburg, im ASW-Arbeitskreis Logistiksicherheit berichtet die WiK in der Ausgabe (S. 34/35): In Europa würden jedes Jahr Waren im Wert von 10 bis 15 Milliarden Euro gestohlen. Dabei ereigneten

18 18 Focus on Security Nach einem Bericht von git-sicherheit vom 3. Dezember haben Forscher der TU München einen neuen, informationstheoretischen Ansatz für eine abhörsichere mobile Kommunikation gefunden. Ihre Lauschabsich 75 % der Überfälle auf LKW bei einem stehenden Fahrzeug, vorwiegend bei Nacht. Empfohlen werde daher, dass bei der Touren- und Routenplanung auf die Auswahl von sicheren Parkplätzen geachtet wird. Als Geschäftsmodell lohne das Angebot von Sicherheitsparkplätzen dennoch nicht Spediteuren sei die Nutzung zu teuer. Teuer seien auch die Maßnahmen zur maritimen Sicherheit. Von den geschätzten Gesamtkosten, die 2010 durch Piraterie entstanden sind (7 bis 12 Milliarden $) seien nur 1,5 % bis 3 % auf die direkten Kosten entfallen, die im Zuge der Angriffe entstanden. Schäden, die Angriffe auf Infrastrukturen wie etwa den Suezkanal verursachen, den etwa 7,5 % des weltweiten Frachtverkehrs passieren, könnten größer sein als bei Angriffen auf Schiffe. Wie schwierig es sei, die Luftverkehrssicherheitz zu erhöhen, sei daran zu ersehen, dass schon Sprengstoff in der Menge einer Tafel Schokolade ein Flugzeug zum Absturz bringen könne. Der Anteil der Sicherheitskosten an den Flughafenbetriebskosten, der vor dem 11. September 2001 etwa 5 bis 8 % betragen habe, sei auf rund 29 % gestiegen. Sicherheitsprozesse sollten von Beginn an bei der Prozessentwicklung berücksichtigt werden also vom Versender bis zur Bodenabfertigung. Das Management in den Unternehmen hätte dafür allerdings noch nicht den erforderlichen Reifegrad erreicht. Die Logistikprozesse und die Sicherheitsprozesse würden bisher noch parallel und nicht integriert verlaufen. Managerhaftung Nach einem Bericht der WirtschaftsWoche vom 9. Dezember schätzt Michael Hendricks, Geschäftsführer der auf Organ- und Managerhaftpflichtversicherungen (D&O) spezialisierten Beratungsgesellschaft, dass vor Gerichten derzeit rund Managerhaftungsverfahren anhängig sind. Bei durchschnittlich zwei bis drei Beklagten pro Fall bedeute das: Rund Manger und Ex-Manager seien derzeit mit Schadenersatzforderungen konfrontiert. Vier Fünftel kämen vom Ex-Arbeitgeber. Immer massiver würden Unternehmen für Compliance- Verstöße zur Kasse gebeten. Die von den Managern geforderten Summen würden immer höher. Beim früheren MAN-Chef Hakan Samuelsen gehe es um 237 Millionen Euro und beim Ex-Chef der früheren Karstadt- Mutter Arcandor, Thomas Middelhoff, um 175 Millionen. Einen großen Schwung von Managerhaftungsfällen habe die Finanzkrise beschert. Die D&O-Anbieter HDI, VOV und Axa versicherten wegen des hohen Risikos keine Finanzdienstleister mehr. Auch immer mehr mittelständische Unternehmen verklagten ihre Führungskräfte. Von den 300 bis 400 Millionen Euro, die D&O-Versicherer in Deutschland pro Jahr derzeit auszahlten, fließe ein großer Teil an die am Verfahren beteiligten Dienstleister. Renommierte Compliance-Experten kassierten 600 Euro pro Stunde. Am Fall Siemens etwa verdiene die Wirtschaftsprüfung Deloitte rund 235 Millionen Euro. Mobile Endgeräte wehr setze an der sogenannten physikalischen Schicht des Kommunikationssystems an. Die Methode verhindere, dass ein potenzieller Mithörer die übertragene Nachricht überhaupt empfängt.

19 Focus on Security Nationale Sicherheitsstrategie Eine nationale Sicherheitsstrategie fordert Bernd Oliver Bühler als Lehre aus dem NSA-Skandal in der Ausgabe der Fachzeitschrift Security insight (S ) und stellt dazu fünf Grundsätze auf: - Stärkung des Wirtschaftsstandorts durch Schutz der am Standort Deutschland aktiven Unternehmen vor Abfluss vorhandenen Know-hows - gesetzliche Ernennung von Beauftragten für Unternehmenssicherheit - stärkeren strafrechtlichen Schutz von Unternehmenswissen - neue Ausrichtung der Sicherheitsbehörden und - Erarbeitung einer nationalen Sicherheitsstrategie, möglichst mit Abstimmung innerhalb der EU. Notfallplanung Mit der Notfallplanung für Versicherungsunternehmen entsprechend der aufsichtsrechtlichen Mindestanforderung für das Risikomanagement (MaRisk VA) befasst sich Tim Jordan, Controllit AG, in der Fach zeitschrift Security insight (Ausgabe , S. 32/33). Entwicklungen wie die verbreitete Nutzung mobiler Techno- logien und Cloud Computing machten es erforderlich, auch die Notfallplanung nebst Strategien für spezifische Ausfallszenarien anzupassen und regelmäßig zu testen. Ein ganzheitliches Test- und Übungskonzept bilde somit einen Hauptbestandteil für die effektive und qualitativ hochwertige Notfallplanung. Notruf- und Serviceleitstelle (NSL) Nach Zustimmung durch den Fachausschuss Technik des BDSW kann die neue VdS-Richtlinie 3138 für NSL ab 2014 angewandt werden, meldet die Fachzeitschrift WiK in der Ausgabe (S. 56). Die VdS 3138 vereine erstmals die aktuelle IP-Welt der Übertragungseinrichtungen mit der Welt der NSL und biete wirksame Management-Werkzeuge, die den zukünftigen Herausforderungen an Datensicherheit, Vernetzung, Kooperation und rasanter technologischer Entwicklung Rechnung trügen. Die VdS werde als offen und rein prozessorientiert beschrieben. Außerdem skizziere sie einen möglichst breiten Korridor zur technischen und organisatorischen Umsetzung. Rechtsanwältin Petra Menge beleuchtet in s+s report (Ausgabe , S ) Haftungsprobleme von Betreibern und Kunden. Sie behandelt Aufschaltverträge, Interventionsverträge und Service/Provider- Verträge und ihre Inhalte und gibt folgende Tipps zur Haftungsprävention für NSL- Betreiber: Achten Sie auf ein vernünftiges Vertragsumfeld und richtige Versicherungen. Benutzen Sie zuverlässige Dienstleister, Provider und achten Sie dabei auf gültige Zertifikate. Achten Sie auf sorgfältige Dokumentation der Dienstleistungen. Achten Sie auf solvente Subunternehmer, die gut versichert sind. Bedenken Sie bei ausländischen Partnern, dass dort eventuell anderes Recht gelt. Machen Sie ausdrückliche Datenschutzverpflichtungserklärungen mit ihren Subunternehmern. Beziehen Sie technische Normen und Richtlinien als Mittel zur Risikobegrenzung, Haftungsminimierung und besseren Versicherbarkeit.

20 20 Focus on Security Perimeterschutz Intelligenter Perimeterschutz wird in der Fachzeitschrift Security insight (Ausgabe , S. 48/49) thematisiert. Entscheidend sei und bleibe der eine Schritt voraus bei der Meldung eines Ereignisses. Die Meldung erfolge bereits, bevor Unbefugte die Chance haben, in ein Gebäude einzudringen. Kombiniert mit einer effizienten Gebäudesicherung entstehe so ein wertvolles Zeitfenster, um eine Tat zu ver- hindern, statt sie nur zu protokollieren. Einen entscheidenden Vorteil böten Schnelllauftore: Sie vereinten Eigenschaften von Schranken und Schiebetoren, seien ausreichend schnell, um nach jedem Fahrzeug zu schließen, und böten Schutz vor unberechtigtem Betreten. Generell gelte: Höchste Sicherheit schafft nur die Überwachung jeder Toröffnung. Personenschutz Personenschutz für Vermögende ist das Thema von Wolfgang Kirner, Corporate Trust Business Risk & Crisis Management GmbH in der Ausgabe der Fachzeitschrift WiK (S ). Der moderne Personenschützer habe nichts mit den Klischees aus Hollywood-Filmen zu tun. Anstatt dem Auftraggeber auf Schritt und Tritt zu folgen, würden in der Regel abgesetzte Vorausklärungsmaßnahmen mit hohem Technikeinsatz durchgeführt. Damit die Bedrohung nicht zur Realität wird, sollten Schwachstellenanalysen über die Wohnund Arbeitsobjekte vorliegen, Hausangestellte überprüft und sensibilisiert sowie ein präventives Krisenmanagement aufgebaut sein. Und für den Worst Case sollte eine Kidnapp & Ransom-Versicherung bestehen. Sanktionen gegen Unternehmen Rechtsanwalt Bernd Groß befasst sich in der FAZ an 27. November mit Sanktionen nach dem OWiG gegen Unternehmen. Spätestens seit der Verhängung von Sanktionen in dreistelliger Millionenhöhe gegen Siemens gingen Strafverfahren regelmäßig mit Geldbußen gegen Unternehmen nach 30 OWiG einher. Für sie bedeuteten derartige Verfahren zudem erhebliche Imageschäden, immense Anwaltskosten sowie aufsichts- und vergaberechtliche Konsequenzen. Von besonderer Bedeutung als Anknüpfungstat sei 130 OWiG, dessen Zusammenspiel mit 30 OWiG oft nicht verstanden werde. Hiernach handelt ordnungswidrig, wer Aufsichtsmaßnahmen unterlässt, die Straftaten oder Ordnungswidrigkeiten aus dem Unternehmen heraus verhindert oder wesentlich erschwert hätten. Die Vorschrift sei somit eine Art strafrechtliches Sammelbecken für die Fälle, bei denen Leitungspersonen keine Beteiligung an den Taten nachgewiesen werden kann. Das Recht biete bereits ein Instrumentarium mit dem gegen rechtswidriges Handeln massiv vorgegangen werden könne. Das Drohpotential liege vor allem im Abschöpfungsteil ( 17 Abs. 4 OWiG). Die Ermittlungsbehörden stellten die Unternehmen oft vor die Wahl: Entweder sie akzeptieren die Schätzung von Vorteilen aus den Taten oder sie müssten weitere kostspielige und imageschädigende Ermittlungen hinnehmen. Angesichts der immer kritischer gewordenen Öffentlichkeit seien viele Unternehmen dann bereit, Sanktionen zu akzeptieren, die über das hinausgehen, was gerichtlich durchsetzbar wäre. Das geltende Recht berge existenzielle Risiken für Unternehmen und deren Führungspersonal.

Aktuelle Angriffsmuster was hilft?

Aktuelle Angriffsmuster was hilft? Aktuelle Angriffsmuster was hilft? Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik Managementforum Postmarkt, Frankfurt

Mehr

IT-Kriminalität in Deutschland

IT-Kriminalität in Deutschland IT-Kriminalität in Deutschland Prof. Dieter Kempf BITKOM-Präsident Vorsitzender Deutschland sicher im Netz e. V. Pressekonferenz 30. Juni 2011 Datenspionage: Angst und Gefahr nehmen zu Wodurch fühlen Sie

Mehr

Wie schütze ich mein WLAN vor Dritten?

Wie schütze ich mein WLAN vor Dritten? Wie schütze ich mein WLAN vor Dritten? Kabelsalat gehört mit dem Wireless Local Area Network (kurz: WLAN), oder zu Deutsch dem drahtlosen lokalen Netz- werk, der Vergangenheit an. Besonders Nutzern von

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity BEISPIELE WELTWEIT ERFOLGREICHER CYBER- ANGRIFFE JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen

Mehr

Status quo Know-how Kontext Industrial IT-Security beim VDMA

Status quo Know-how Kontext Industrial IT-Security beim VDMA Status quo Know-how how-schutz im Kontext Industrial IT-Security beim VDMA Augsburg, 2014-02-19 Peter Mnich VICCON GmbH Ottostr. 1 76275 Ettlingen VICCON GmbH Büro Potsdam David-Gilly-Str. 1 14469 Potsdam

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Bei Feuerschutztüren können Minuten entscheidend sein.

Bei Feuerschutztüren können Minuten entscheidend sein. Oensingen, November 2015 Bei Feuerschutztüren können Minuten entscheidend sein. Im Zuge der neuen Produktnorm EN 16034 müssen sich Hersteller von Feuerschutztüren auf die neuen Anforderungen einstellen

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

20 Fragen und Antworten zur Digitalen Spurensicherung

20 Fragen und Antworten zur Digitalen Spurensicherung 20 Fragen und Antworten zur Digitalen Spurensicherung Was meint die CSU-Fraktion im Bayerischen Landtag mit Digitale Spurensicherung? Kommunikationsverkehrsdaten von Bürgerinnen und Bürgern sollen von

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Deutsche Mailanbieter sichern Daten ihrer Kunden besser

Deutsche Mailanbieter sichern Daten ihrer Kunden besser VERSCHLÜSSELUNG: Deutsche Mailanbieter sichern Daten ihrer Kunden besser Wer verschlüsselt, nutzt HTTPS und andere Verfahren, um Hacks zu erschweren? Wir haben die fünf wichtigsten Provider gefragt. Der

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Testfragen PRINCE2 Foundation

Testfragen PRINCE2 Foundation Testfragen PRINCE2 Foundation Multiple Choice Prüfungsdauer: 20 Minuten Hinweise zur Prüfung 1. Sie sollten versuchen, alle 25 Fragen zu beantworten. 2. Zur Beantwortung der Fragen stehen Ihnen 20 Minuten

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Kundeninformation zur Sicheren E-Mail

Kundeninformation zur Sicheren E-Mail Kundeninformation zur Sicheren E-Mail Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen" der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Embedded Systems Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Intelligente Embedded Systems revolutionieren unser Leben Embedded Systems spielen heute in unserer vernetzten

Mehr

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James

Sicherheitskonzept für externe Datenbank. Erstellt von Alt Roman und Schüpbach James Sicherheitskonzept für externe Datenbank Erstellt von Alt Roman und Schüpbach James Inhaltsverzeichnis 1 Risikoanalyse...3 1.1 Intern...3 1.2 Extern...3 1.3 Physisch...3 2 Risiko Klassifizierung...4 3

Mehr

Falschgeldkriminalität

Falschgeldkriminalität Falschgeldkriminalität Bundeslagebild 2013 Falschgeldkriminalität Bundeslagebild 2013 3 INHALT 1. Vorbemerkung 5 2. Darstellung und Bewertung der Kriminalitätslage 5 2.1 Straftaten 5 2.2 Euro-Falschnoten

Mehr

sascha.zinke@splone.com

sascha.zinke@splone.com Verteiltes Scannen in Industrie- Sascha Zinke sascha.zinke@.com Version 1.0 1 1 4 Zusammenfassung Industrielle Netzwerke stellen für die Sicherheit besondere Herausforderungen dar. War bis jetzt vor allem

Mehr

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Neue Programme von MasterCard und VISA: SDP Side Data Protection MasterCard AIS Account Information Security VISA Zielgruppen

Mehr

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL BEISPIELE WELTWEIT ERFOLGREICHER CYBER-ANGRIFFER JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen Softwareentwicklern wurden infiziert

Mehr

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de POLIZEI Hamburg Wir informieren www.polizei.hamburg.de Online-Sicherheit Die Nutzung des Internet ist für die meisten von uns heute selbstverständlich. Leider fehlt es vielen Nutzerinnen und Nutzern allerdings

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

securpharm Der deutsche Schutzschild gegen Arzneimittelfälschungen Pressekonferenz Berlin am 1. September 2011 Dr. Reinhard Hoferichter

securpharm Der deutsche Schutzschild gegen Arzneimittelfälschungen Pressekonferenz Berlin am 1. September 2011 Dr. Reinhard Hoferichter securpharm Der deutsche Schutzschild gegen Arzneimittelfälschungen Pressekonferenz Berlin am 1. September 2011 Dr. Reinhard Hoferichter Agenda Teil 1 Das Risiko: Arzneimittelfälschungen Teil 2 Die politische

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v.

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Was ist Sicherheit? Wikipedia: Sicherheit (von lat. sēcūritās zurückgehend auf sēcūrus

Mehr

Cyberraum und Cybersicherheit: eine neue politische Dimension

Cyberraum und Cybersicherheit: eine neue politische Dimension Cyberraum und Cybersicherheit: eine neue politische Dimension Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik Internationaler Club La Redoute, 26. Mai 2014 IT = Alltag

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Das Thema Datenschutz hatte bereits in der Entwicklungs- und Konzeptionsphase

sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Das Thema Datenschutz hatte bereits in der Entwicklungs- und Konzeptionsphase LITTLE BIRD - Sicherheits- und Datenschutzkonzept LITTLE BIRD bietet seinen Kunden und Nutzern größtmöglichen Schutz für sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Sicherheitsbereich.

Mehr

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum Thomas Haeberlen Gelsenkirchen, 11.Juni 2015 Agenda» Kernaussagen» Zahlen und Fakten zu Angriffen im Cyber-Raum» Cyber-Angriffsformen» Snowden-Enthüllungen»

Mehr

Newsletter SLA März 2015

Newsletter SLA März 2015 Sollte dieser Newsletter nicht korrekt dargestellt werden, Klicken Sie bitte hier. Newsletter SLA März 2015 MEAT INTEGRITY SOLUTION (MIS) ALS NEUER STANDARD! Was leistet die MEAT INTEGRITY SOLUTION (MIS)?

Mehr

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking RedTeam Pentesting GmbH 23. November 2009 ChipTAN comfort ist ein neues Verfahren, welches mit Hilfe eines vertrauenswürdigen

Mehr

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Bankkunden von heute können die meisten ihrer Finanztransaktionen online durchführen. Laut einer weltweiten Umfrage unter Internetnutzern,

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Webanwendungssicherheit und Penetrationstests in Behörden. 13. März 2014, München

Webanwendungssicherheit und Penetrationstests in Behörden. 13. März 2014, München Webanwendungssicherheit und Penetrationstests in Behörden 13. März 2014, München Webanwendungssicherheit und Penetrationstests in Behörden Die Notwendigkeit Server technisch vor Angriffen zu schützen ist

Mehr

Pressestatement. Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz IT-Sicherheit in Unternehmen

Pressestatement. Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz IT-Sicherheit in Unternehmen Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Hannover, 11. März 2014 Seite 1 Guten Morgen, meine sehr geehrten Damen und Herren! Acht Monate nach den ersten Enthüllungen können wir sagen: Die

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

White Paper. Datenschutz für den Betrieb von WLAN-Hotspots Die VPN-Routing-Lösung von HOTSPLOTS. Stand: Mai 2012

White Paper. Datenschutz für den Betrieb von WLAN-Hotspots Die VPN-Routing-Lösung von HOTSPLOTS. Stand: Mai 2012 White Paper Datenschutz für den Betrieb von WLAN-Hotspots Die VPN-Routing-Lösung von HOTSPLOTS Stand: Mai 2012 hotsplots GmbH Dr. Ulrich Meier, Dr. Jörg Ontrup Rotherstr. 17 10245 Berlin E-Mail: info@hotsplots.de

Mehr

DCS - Data Center Shielding. Schutz vor Spionage, elektronischen Attacken und technischen Lauschangriffen. www.rz-products.de

DCS - Data Center Shielding. Schutz vor Spionage, elektronischen Attacken und technischen Lauschangriffen. www.rz-products.de DCS - Schutz vor Spionage, elektronischen Attacken und technischen Lauschangriffen www.rz-products.de DCS - Schützen Sie das Kapital Ihres Unternehmens Der Schutz von Daten und betrifft heute nicht mehr

Mehr

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht Muster Nachweisdokumentation und Sicherheitsbewertungsbericht auf Basis der "Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 23. Oktober 2012, S-IHK Hagen Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Perspektiven der IT-Sicherheit in Deutschland und die Rolle des BSI

Perspektiven der IT-Sicherheit in Deutschland und die Rolle des BSI Perspektiven der IT-Sicherheit in Deutschland und die Rolle des BSI Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik 3. Tag der IT-Sicherheit, IHK Haus der Wirtschaft,

Mehr

der die und in den von zu das mit sich des auf für ist im dem nicht ein eine als auch es an werden aus er hat daß sie nach wird bei

der die und in den von zu das mit sich des auf für ist im dem nicht ein eine als auch es an werden aus er hat daß sie nach wird bei der die und in den von zu das mit sich des auf für ist im dem nicht ein eine als auch es an werden aus er hat daß sie nach wird bei einer um am sind noch wie einem über einen so zum war haben nur oder

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Elektroakustische Alarmierung

Elektroakustische Alarmierung Leistungsgemeinschaft Beschallungstechnik imzvei Elektroakustische Alarmierung Menschen schützen Selbstrettung sicherstellen Gebäude effektiv evakuieren Mitgliedsfirmen der Leistungsgemeinschaft Beschallungstechnik

Mehr

Leitfaden zur Umstellung auf die Ausgabe 2015 der ISO 9001 und ISO 14001

Leitfaden zur Umstellung auf die Ausgabe 2015 der ISO 9001 und ISO 14001 Dieser Umstellungsleitfaden für die neuen 2015er Ausgaben der ISO 9001, Qualitätsmanagementsysteme, und der ISO 14001, Umweltmanagementsysteme, sollen Ihnen mögliche Umstellungsprozesse erläutern, die

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Managed File Transfer in der Kunststoffverarbeitenden Industrie

Managed File Transfer in der Kunststoffverarbeitenden Industrie Managed File Transfer in der Kunststoffverarbeitenden Industrie Sichere Alternativen zu FTP, ISDN und E-Mail Verzahnung von Büro- und Produktionsumgebung Verschlüsselter Dateitransfer in der Fertigung

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

Ris ik o Wirtsc haftskrimin alität Innerbetrieblicher Widerstand gegen Compliance 10.05.2011 Corporate Trust Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen

Mehr

ein Service von Initiative S - der Webseiten-Check für kleine und mittelständische Unternehmen

ein Service von Initiative S - der Webseiten-Check für kleine und mittelständische Unternehmen Initiative S - der Webseiten-Check für kleine und mittelständische Unternehmen Die Initiative S ist ein Projekt von eco Verband der deutschen Internetwirtschaft, das vom Bundesministerium für Wirtschaft

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Matthias Wörner gepr. IT-Sachverständiger

Matthias Wörner gepr. IT-Sachverständiger Matthias Wörner gepr. IT-Sachverständiger CTO und 100% Anteilseigner Inhaber der IT-Securityfirma Thomas Krauss Initiator und Mitgründer des Netzwerk Prävention IT- Kriminalität mit schriftlicher Genehmigung

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Industriespionage im Mittelstand

Industriespionage im Mittelstand Industriespionage im Mittelstand Die Sicherheitsbranche hat für die neue Art dieser Bedrohung den Fachterminus Advanced Persistent Threats (APTs) geprägt. Darunter versteht sie die fortwährende und fortgeschrittene

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Brandschutzordnung. Stadtwerke Düren GmbH. Wasserwerk Obermaubach. gemäß DIN 14096 Teil C. Erstellt durch: Stand: Dezember 2009 IW01

Brandschutzordnung. Stadtwerke Düren GmbH. Wasserwerk Obermaubach. gemäß DIN 14096 Teil C. Erstellt durch: Stand: Dezember 2009 IW01 Brandschutzordnung gemäß DIN 14096 Teil C Stadtwerke Düren GmbH Wasserwerk Obermaubach Stand: Dezember 2009 Erstellt durch: IW01 Eine Brandschutzordnung ist eine auf ein bestimmtes Objekt zugeschnittene

Mehr

IT Security ist Chefsache

IT Security ist Chefsache IT Security ist Chefsache Rechtliche Aspekte im Umfeld von IT Security RA Wilfried Reiners, MBA Agenda Einführung in das Thema Anspruchsgrundlagen Haftungsrisiken Fallbeispiele für Viren, Würmer, Lücken

Mehr

DAS BESTE SICHERHEITSPAKET. Jetzt Ihre vier Wände sichern! Fühlen Sie sich wohl. Geschützt vor Einbruch und Brand. www.telenot.de

DAS BESTE SICHERHEITSPAKET. Jetzt Ihre vier Wände sichern! Fühlen Sie sich wohl. Geschützt vor Einbruch und Brand. www.telenot.de DAS BESTE SICHERHEITSPAKET. FÜR SIE UND IHR Zuhause. Fühlen Sie sich wohl. Geschützt vor Einbruch und Brand. Jetzt Ihre vier Wände sichern! www.telenot.de mit Sicherheit Wohlfühlen. Wir schützen Ihr Zuhause.

Mehr

Verfahrensgrundlage Vergabe von Registrierungskennzahlen für Informationsobjekte

Verfahrensgrundlage Vergabe von Registrierungskennzahlen für Informationsobjekte Verfahrensgrundlage Vergabe von Registrierungskennzahlen für Informationsobjekte März 2006 Version 1.0 Inhaltsverzeichnis 1 Anwendungsbereich... 3 2 Ziel und Zweck des Registers... 3 3 Mitteilungspflicht

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Cyber-Sicherheit Aktuelle Gefährdungen und Gegenmaßnahmen. Dr. Harald Niggemann

Cyber-Sicherheit Aktuelle Gefährdungen und Gegenmaßnahmen. Dr. Harald Niggemann Cyber-Sicherheit Aktuelle Gefährdungen und Gegenmaßnahmen Dr. Harald Niggemann Hagen, 3. Dezember 2014 Kernaussagen» Die Bedrohungslage im Cyber-Raum ist heute gekennzeichnet durch ein breites Spektrum

Mehr

Neueste IDG-Studie: Cyber Defense Maturity Report 2014

Neueste IDG-Studie: Cyber Defense Maturity Report 2014 Medienkontakt: Susanne Sothmann / Erna Kornelis Kafka Kommunikation 089 74 74 70 580 ssothmann@kafka-kommunikation.de ekornelis@kafka-kommunikation.de Neueste IDG-Studie: Cyber Defense Maturity Report

Mehr

Kundeninformation zu Secure Email. Secure Email Notwendigkeit?

Kundeninformation zu Secure Email. Secure Email Notwendigkeit? Kundeninformation zu Secure Email Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen

Mehr

Informationssicherheit mehr als Technologie. Herzlich willkommen

Informationssicherheit mehr als Technologie. Herzlich willkommen Informationssicherheit mehr als Technologie Herzlich willkommen AL Conuslt 2012 Vorstellung Schwerpunkte IT-Strategie und IT-Strategieentwicklung (z.b. mit CObIT) IT Service-Management (ITIL und ISO 20000)

Mehr

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? September 24, 2015 Slide 1 Über den Drucker ins

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

Vorsicht beim Surfen über Hotspots

Vorsicht beim Surfen über Hotspots WLAN im Krankenhaus? Vorsicht beim Surfen über Hotspots - Unbefugte können leicht auf Rechner zugreifen - Sicherheitstipps für Nutzer öffentlicher WLAN-Netze Berlin (9. Juli 2013) - Das mobile Surfen im

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall 1. Gebot: http://www.8com.de Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall / DSL-Router mit dem Internet. Überprüfen regelmäßig die Konfiguration Ihrer Firewall / Ihres DSL-Routers

Mehr

Ein Plädoyer für mehr Sicherheit

Ein Plädoyer für mehr Sicherheit FACHARTIKEL 2014 Oder: Warum Zwei-Faktor-Authentifizierung selbstverständlich sein sollte Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. Oder: Warum Zwei-Faktor-Authentifizierung

Mehr

DAS BESTE SICHERHEITSPAKET. Jetzt Ihr Büro sichern! Einbruchschutz in jeder Geschäftslage. Die Alarmanlage für Ihre Büroräume. www.telenot.

DAS BESTE SICHERHEITSPAKET. Jetzt Ihr Büro sichern! Einbruchschutz in jeder Geschäftslage. Die Alarmanlage für Ihre Büroräume. www.telenot. DAS BESTE SICHERHEITSPAKET. Für Sie und Ihr Büro. Jetzt Ihr Büro sichern! Einbruchschutz in jeder Geschäftslage. Die Alarmanlage für Ihre Büroräume. www.telenot.de Entspannt arbeiten. WIR SCHÜTZEN IHRE

Mehr

IT-SICHERHEIT UND MOBILE SECURITY

IT-SICHERHEIT UND MOBILE SECURITY IT-SICHERHEIT UND MOBILE SECURITY Grundlagen und Erfahrungen Dr.-Ing. Rainer Ulrich, Gruppenleiter IT SECURITY Schäubles Handy bei Einbruch gestohlen Bei Wolfgang Schäuble ist eingebrochen worden. Die

Mehr

Technologie für eine bessere Welt mit Sicherheit smarter

Technologie für eine bessere Welt mit Sicherheit smarter Technologie für eine bessere Welt mit Sicherheit smarter Dr. Lothar Mackert Vortrag beim IT-Sicherheitskongress 2011 Bonn, 12. April 2011 Technologie für eine bessere Welt - ein er Planet Supply Chains

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Der Weg zu Ihrem Online-Konto mit PIN/TAN

Der Weg zu Ihrem Online-Konto mit PIN/TAN Der Weg zu Ihrem Online-Konto mit PIN/TAN Allgemeines zur Kontensicherheit/Sicherheitshinweis Wir machen Sie darauf aufmerksam, dass die Sparkasse keine vertraulichen Daten (z.b. PIN und/oder TAN) per

Mehr