Phishing mit sozialen Netzwerken – Hakin9 05/2011

Phishing mit sozialen Netzwerken
Markus Huber und Peter Kieseberg
In diesem Artikel beschreiben wir, wie auf Grund der Verbreitung von sozialen Netzwerken persönliche Informationen für neuartige Social Engineering Angriffe missbraucht werden können.

Nur eine spezielle IT-Haftpflichtversicherung sichert den IT-Freelancer optimal gegen seine beruflichen Haftungsrisiken ab
Matthias Talpa
Kleinste Programmierfehler, ein falsches Wort in der Google Adwords Kampagne oder die nicht erlaubte Verwendung von Bild- und Tonelementen auf der Website – all das sind Risiken, denen IT-Experten ausgesetzt sind. Was oft als nicht risikoreich abgetan wird, kann jedoch existenzbedrohende Nachwirkungen haben. Schutz dagegen bietet eine IT-Haftpflichtversicherung.

Die Cloud nimmt es mit der Spamflut auf
Willem Vooijs
Spam ist für Unternehmen mehr als ein Ärgernis: Die Abwehr der Nachrichtenflut kostet Ressourcen und Bandbreite. Gelangen Spam-E-Mails durch den Filter, geraten Unternehmensdaten in Gefahr. Abhilfe schaffen Managed E-Mail Services aus der Cloud, die Spam und Malware dem Firmennetz fernhalten.

Netzwerk-Sicherheit – Schutz eines Netzwerks durch ein Check Point Security Gateway
Stefan Schurtz
Check Point Software Technologies Ltd. ist weltweit für seine Firewall- und VPN-Produkte bekannt, und stellt mit seiner noch recht neuen Software Blades eine sehr flexible Security Architektur für Unternehmen bereit.

„9/11 in der Sicherheitsbranche”: Cyber- Angriff auf Comodo sorgt für Wirbel
Christian Heutger, Geschäftsführer PSW GROUP
Auf das IT-Sicherheitsunternehmen Comodo und damit auf eine tragende Säule der Internet-Sicherheitsinfrastruktur ist am 15. März 2011 die wahrscheinlich spektakulärste Cyber-Attacke des noch jungen Jahres erfolgt. Gründer und CEO Melih Abdulhayoglu verglich den Angriff, der Hackern aus dem Iran zugeschrieben wird, von der Vorgehensweise her gar mit dem „11. September”. Auch wenn sich der Schaden in Grenzen hielt, offenbarte die Attacke auf Comodo große Schwachstellen und könnte sogar eine politische Dimension haben. Nicht von ungefähr wird sie in Sicherheitskreisen bereits „Comodgate” genannt. Erste Lehren aus der Attacke wurden bereits gezogen: So sind die Sicherheitsvorkehrungen bei Comodo verschärft worden.

ISO/IEC 27001 für Informationssicherheit: „Business Needs auf die IT herunter brechen“
Erich Scheiber
Laut InfoWatch-Statistik gehen pro Tag weltweit bis zu 3 Millionen Personendatensätze verloren. Davon rund 75 Prozent unbeabsichtigt, ohne kriminelle Energie. Vor diesem Hintergrund entscheiden sich immer mehr Unternehmen für eine strukturierte Absicherung mittels Prozessmanagement nach ISO/IEC 27001: Mehr als 12.000 Unternehmen in 80 Ländern sind mittlerweile nach dem Information-Security-Standard ISO 27001 zertifiziert. Pro Jahr kommen rund 1.000 dazu, auch aus dem KMU-Bereich. Erich Scheiber, Geschäftsführer der weltweit tätigen Zertifizierungsorganisation CIS, beschreibt im Interview einen „hohen internen Schutzbedarf“ und gibt Tipps zur ISO-27001-Implementierung.

Security und Quality als Integriertes Managementsystem
Peter Soudat, Gustav Jung
Informationssicherheit nach ISO 27001 lässt sich nahtlos in das Qualitätsmanagement nach ISO 9001 integrieren oder zeitgleich einführen. Durch Kombinationsaudits, gemeinsame Reviews und einheitliche Dokumentation sparen Unternehmen 20 bis 30 Prozent Aufwand.

„Bauanleitung“ für Informationssicherheit: ISO 27003
Herfried Geyer
Zertifizierte Informationssicherheit nach dem Security-Standard ISO 27001 kommt vor allem in Großunternehmen zum Einsatz. Mit dem Implementierungsleitfaden ISO 27003 gelingt es auch KMU, ein Managementsystem nach internationalem Niveau aufzubauen: „Do it Yourself…“

Kennzahlen: Wie effizient ist das Security- System?
Nach der Subnorm ISO 27004 lassen sich Kennzahlen für die Erfolgsmessung generieren. Aussagekräftige Zahlen stärken die Anerkennung von Informationssicherheit im Unternehmen.

„Fehlertolerante Unternehmenskultur?“ Whistle Blowing aus Sicht der ISO 27001
Ing. Johannes Mariel
Im Spannungsfeld zwischen Schutz und Aufklärung findet sich die Informationssicherheit. In der Umgangssprache beschreibt „Whistle Blowing“ die nicht autorisierte Enthüllung vertraulicher Informationen – sei es aus Überzeugung oder für einen persönlichen Vorteil. Informationssicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen „angemessen“ zu schützen. Inwieweit kann also die Umsetzung des internationalen Security-Standards ISO/IEC 27001 einem Phänomen wie dem ungewollten Veröffentlichen betrieblicher Informationen vorbeugen und gleichzeitig Transparenz im Unternehmen etwa im Rahmen eines Meldewesens ermöglichen?

„Wolkig bis trüb“: Datenschutz bei Cloud Computing
Karin Peyerl
Vom Newsletter-Tool bis zur ERP-Software verzeichnen Cloud Services zweistellige Wachstumsraten, bergen aber auch neue Risiken. Bei Datenpannen „in der Wolke“ ist der Nutzer für die Auswahl seines Providers haftbar. Haftungsminimierung wird erreicht, wenn ein Cloud-Provider nach ISO 27001 zertifiziert ist und der Standard vertraglich aufgenommen wird.

Die neue Epoche der Datenverschlüsselung
Kilian Zantop
Die sichere Übermittlung von Nachrichten ist kein neues Thema, sondern geht weit ins Mittelalter zurück. Schon in der Antike gab es zusammengerollte Schriftstücke. Um die Intimität von Information zu erhöhen, bediente man sich in weiterer Folge des Briefumschlags. Zudem wurden früher wichtige Dokumente im Tresor aufbewahrt. Doch heute liegen diese sensiblen Informationen meistens ungesichert in Firmennetzwerken. Oftmals fehlt dabei das Bewusstsein, was mit solch leicht zugänglichen Daten passieren kann.