Hier finden Sie zurückliegende Informationen.
- Handbuch Unternehmenssicherheit, 3. Auflage im Buchhandel, 17. September 2015
- IT-Sicherheitsgesetz in Kraft getreten, 16. August 2015
- Heartbleed: OpenSSL-Sicherheitslücke entdeckt, 12. April 2014
- IT-Sicherheit mit System, 5. Auflage im Buchhandel, 29. März 2014
- ISO 27001:2013 und ISO 27002:2013 erschienen, 03. Oktober 2013
- Schufa erforscht Nutzung von Internetinformationen, 08. Juni 2012
- Linkedin-Passwörter gestohlen, 08. Juni 2012
- Israel durchsucht E-Mail-Accounts, 08. Juni 2012
- Cyber Weapons weiter im Kommen, 03. Juni 2012
- Webseite des britischen Innenministeriums lahmgelegt, 09. April 2012
- Kreditkartendaten gestohlen, 09. April 2012
- Bilanz- und Betrugsskandal bei Olympus, 13. November 2011
- Hackerangriff auf Adidas, 13. November 2011
- Neues Forschungszentrum für IT-Sicherheit in Darmstadt, 04. November 2011
- Bombenanschlag und Massaker erschüttern Norwegen, 23. Juli 2011
- Unterstützung für Whistleblower, 23. Juli 2011
- Schlag gegen Internetkriminalität, 25. Juni 2011
- Hacker-Angriff auf Sega, 25. Juni 2011
- Gesetz zur Bekämpfung der Korruption, 19. Juni 2011
- isharegossip.com lahmgelegt, 19. Juni 2011
- IWF erleidet Datendiebstahl, 19. Juni 2011
- Mutmaßliche Hacker des Playstation-Netzes von Sony verhaftet, 11. Juni 2011
- Überwachungsmechanismen zeigen Wirkung, 11. Juni 2011
- Hacker-Angriff auf Citigroup, 11. Juni 2011
- Hackergruppe in SonyPictures.com eingebrochen, 4. Juni 2011
- Hacker-Angriff auf Googles G-Mail, 3. Juni 2011
- IT-Sicherheit mit System, 4. Auflage im Buchhandel, 2. Juni 2011
- Haftung der KfW-Bankengruppe für die Deutsche Telekom, 2. Juni 2011
- Lockheed Ziel von Hacker-Angriff, 2. Juni 2011
- Regierungen für Mindeststandards im Internet, 2. Juni 2011
- Hacker knacken Sony-Netzwerk, 30. April 2011
- Tornado trennt Atomkraftwerk vom Netz, 30. April 2011
- Fukushimas Folgen in der Lieferkette, 10. April 2011
- IT-Sicherheit mit System, 4. Auflage, für Mai 2011 angekündigt, 26. März 2011
- Schaffung eines Cyber-Abwehr-Zentrums für das Jahr 2011, 28. Dezember 2010
- Datenschutzlücken bei unbemannten Flugkörpern mit Kameras, 28. Dezember 2010
- Als geheim eingestufte amerikanische Dokumente im Internet, 5. Dezember 2010
- IT-Sicherheit mit System vergriffen, 28. November 2010
- Sicherheitslücke im Update-Programm des E-Perso, 14. November 2010
- Konkrete Gefahr von Terroranschlägen, 31. Oktober 2010
- Abwicklung von Banken möglich, 31. Oktober 2010
- Teure Strafe für Pharmakonzern, 31. Oktober 2010
- Krisenpläne von Banken gefordert, 31. Oktober 2010
- Potenziell höhere Prozessrisiken in Amerika, 31. Oktober 2010
- Umweltkatastrophe in Ungarn, 31. Oktober 2010
- Handbuch Unternehmenssicherheit, 2. Auflage im Buchhandel, 15. Oktober 2010
- Weiterhin Optimierungspotenzial im Datenschutz, 28. August 2010
- Produktmangel produziert bei Nvidia Verluste, 22. August 2010
- Handbuch Unternehmenssicherheit, 2. Auflage angekündigt, 1. August 2010
- Kreditkartenrückruf nach Datendiebstahl, 21. November 2009
- Systemstopp legt Terminbörse Eurex lahm, 20. November 2009
- Brand in Wäschelager verursacht Millionenschaden, 27. Juni 2009
- ISO/IEC FCD 27003 und ISO/IEC FCD 27004 liegen vor, 27. Juni 2009
- Mobilfunknetz ausgefallen, 25. April 2009
- Kundenpapiere einer Bank im Altpapier-Container, 11. April 2009
- Unachtsamkeit führt zu Rücktritt des Leiters der Terrorabwehr, 11. April 2009
- Hacker drangen in US-Stromnetz ein, 11. April 2009
- E-Mails von Gewerkschaften an Arbeitnehmer zulässig?, 4. April 2009
- Schlange stehen im Internet zum Abwracken, 4. April 2009
- Forschungszentrum für IT-Sicherheit (Cased) offiziell eingeweiht, 8. Februar 2009
- Technische Panne behindert Flugbetrieb am Flughafen Frankfurt, 23. Januar 2009
- Massiver Netzausfall bei der Deutschen Bahn, 15. Januar 2009
- Umfangreicher Diebstahl von Kreditkartendaten, 14. Dezember 2008
- Datendiebstahl in großem Stil, 8. Dezember 2008
- Sicherheit ein Thema des IT-Gipfels in Darmstadt, 22. November 2008
- Verleihung des Deutschen IT-Sicherheitspreises, 25. Oktober 2008
- Gasunfall zeigt Evakuierungsprobleme auf, 25. Oktober 2008
- 17 Millionen Telefonnummern und Kundendaten bei Telekom entwendet, 5. Oktober 2008
- Immenser Datenskandal in Norwegen, 18. September 2008
- Milliardenschaden durch Plagiate, 18. September 2008
- Schwachstellen in Beta-Version von Googles Chrome-Browser, 6. September 2008
- Stromausfall in Ortsteilen Mannheims, 6. September 2008
- Computer-Malware an Bord der Raumstation, 31. August 2008
- Hoher Schaden durch Wirtschaftskriminalität, 23. August 2008
- Bagger kappt Glasfaserkabel, 4. Juli 2008
- Korruption in Deutschland nimmt zu, 28. Juni 2008
- FBI-Kampagne "Heimtückische Hypothek", 21. Juni 2008
- In 2007 Zunahme der Computerkriminalität, Abnahme der Wirtschaftskriminalität, 23. Mai 2008
- Datenschutzrechtliche Bedenken gegenüber Google-Bildern möglich, 18. Mai 2008
- Groß angelegte Evakuierungsübung im Frankfurter Bankenviertel, 17. April 2008
- Information Security - eine unternehmerische Aufgabe, 10. April 2008
- BSI-Standard 100-4 zum Notfallmanagement angekündigt, 2./3. März 2008
- Produktionsfortführung des Porsche 911 angekündigt, 2. März 2008
- Online-Durchsuchung eng begrenzt erlaubt, 28. Februar 2008
- Gasexplosion bei Porsche in Zuffenhausen, 28. Februar 2008
- Buch "IT für Manager", 23. Februar 2008
- Betriebsunfall bei Merck, 23. Februar 2008
- Kontrollmängel bei Société Générale, 23. Februar 2008
- Datenverkehr im Internet beeinträchtigt, 2. Februar 2008
- Europäische Passagierdatenrichtlinie versus Datenschutz, 2. Februar 2008
- Stromausfall in Karlsruhe, 2. Februar 2008
- Diebstahl persönlicher Daten in Großbritannien, 21. Januar 2008
- Datenpanne in Darmstadt, 11. Januar 2008
- Verlust von Datenträgern mit persönlichen Daten, 23. November 2007
- Nato beschäftigt sich mit Cyber-Security, 23. November 2007
- Hessische Polizisten fahnden im Internet, 10. November 2007
- Alles im Blick, 20. Oktober 2007
- 3. Auflage von "IT-Sicherheit mit System", 7. Oktober 2007
- Datenschutzverbesserungen nach dreimaliger Datenpanne, 19. September 2007
- Phishing-Bande festgenommen, 19. September 2007
- Datendiebstahl beim Internet-Karriereportal Monster, 26. August 2007
- Trefferquote der automatischen Gesichtserkennung unzureichend, 12. Juli 2007
- Brand im Rechenzentrum des Bundestages, 6. Juli 2007
- Früherer BaFin-Beamter wegen Millionen-Betrugs verurteilt, 5. Juli 2007
- B. Schneier: Fixing Internet Security by Hacking the Business Climate, 26. Juni 2007
- WLAN WEP sekundenschnell zu knacken, 15. Juni 2007
- Sicherheitsbewusstsein im Internet ist gefragt, 22. Mai 2007
- Cyber-Attacken legen estnische Server lahm, 18. Mai 2007
- Computerbetrug und Wirtschaftskriminalität nehmen zu, 18. Mai 2007
- Hessische Polizei setzt Fingerabdruckscanner ein, März 2007
- Bruce Schneier als Keynote Speaker auf der SECURE 2007, 17. Februar 2007
- CeBIT 2007 mit Kurz-Vortrag von Dr.-Ing. Müller, 17. Februar 2007
- Pro Minute erfolgen 1,5 Angriffe auf Computer mit Internet-Zugang, Februar 2007
- Deutsche Domain der Internetsuchmaschine google kurzzeitig gekapert, Januar 2007
- Sturmtief „Kyrill“ tobte durch Deutschland, 19. Januar 2007
- Biometrie - Verfahren, Trends, Chancen und Risiken, 18. Januar 2007
- Gravierende Datenschutzpanne bei Darmstädter Polizei, 16./17. Januar 2007
- Verschärfung der Strafvorschriften gegen Korruption, Januar 2007
- Genormte Sicherheit - Von normativen Anforderungen zur Lösung, Dezember 2006
- Ganzheitliche und wirtschaftliche IT-Sicherheit, Dezember 2006
- Open-Source-Sicherheitssoftware BOSS Version 2.0 freigegeben, Dezember 2006
- eBanking-TAN als mobileTAN per SMS zum Kunden, Dezember 2006
- 10. Deutscher IT-Sicherheitskongress des BSI im Mai 2007, Dezember 2006
- Fingerabdrücke im ePass erst ab November 2007, Dezember 2006
- Internet-Security-Frühwarnsystem, Dezember 2006
- Microsoft® hat eine Sicherheitssprache für Grids entworfen, Oktober 2006
- IT-Security Forum 2006 mit Biometrie-Vortrag, Oktober 2006
- HELPDESK Forum 2006 mit Vortrag zur Sicherheit, Oktober 2006
- Gebrauchte mobile Endgeräte mit vertraulichen Daten, Oktober 2006
- Zweistündiger DNS-Server-Ausfall in Spanien, September 2006
- 1. deutschsprachiger BCI-Kongress in Hamburg, August 2006
- Neue ITIL®-Struktur und -Bücher in Entwicklung, Juli 2006
- Security Threats nehmen laut McAfee® rasant zu, Juli 2006
- Computerkriminalität ist 2005 rückläufig, Juli 2006
- Stromausfall: Kleine Ursache - Große Wirkung, Juli 2006
- Integrierte Sicherheitskomplettlösungen auf dem Vormarsch, Juni 2006
- Phil Zimmermanns VoIP-Verschlüsselungstool als Beta für Windows XP, Mai 2006
- Studie Biometrie und Smart Cards von ACG GmbH erstellt, April 2006
- Verbraucher befürworten überwiegend biometrische Verfahren, April 2006
- 2,6 Millionen Euro sollen bei der BaFin veruntreut worden sein, April 2006
- Läden in Darmstadt sind über Stunden ohne Strom, April 2006
- Risiko- und Sicherheitsmanagement verbinden, April 2006
- VoIP-Verschlüsselungstool von Phil Zimmermann als Beta verfügbar, März 2006
- Blickschutz-Filter schützt Laptops vor neugierigen Seitenblicken, März 2006
- Risiken einer Grippe-Pandemie, Feb. 2006
- Insolvenz von Heros kann die Bargeldversorgung beeinträchtigen, Feb. 2006
- USA startet weltweites Manöver „Cyber Storm“, Feb. 2006
- Voice over IP spart Kosten und birgt Risiken in sich, Feb. 2006
- Gasversorger Entega stellt Firmen das Gas ab, Jan. 2006
- IT-Grundschutzhandbuch 2005 ist Ende 2005 erschienen, Jan. 2006
- HSBC und Deutsche Bank haben Notfallplan für Vogelgrippe-Epidemie, Jan. 2006
- Computerpanne führt zu Rücktritt des Präsidenten der Tokioter Börse, Dez. 2005
- MaRisk von BaFin veröffentlicht, Dez. 2005
- Banken verstärken ihren Schutz gegen Phishing, Dez. 2005
- Innenminister wollen neues Computersystem gegen ec-Kartenbetrug, Dez. 2005
- Fast jedes zweite Unternehmen ist Opfer von Wirtschaftskriminalität, Nov. 2005
- Mehrtägiger Stromausfall im Münsterland, Nov. 2005
- ISO 27001 zu ISMS Requirements ist erschienen, Nov. 2005
- Mobilfunknetze sind durch SMS-Angriffe prinzipiell gefährdet, Nov. 2005
- Innovatives Handbuch Unternehmenssicherheit ist Trendsetter, Okt. 2005
- DNS-Server könnten durch Pharming-Attacken korrumpiert werden, Okt. 2005
- Verborgene forensische Codes in Computerausdrucken, Okt. 2005
- Botnet aus mehr als 100.000 Computern in Holland zerschlagen, Okt. 2005
- Phishing-Attacken nehmen weiter zu, Okt. 2005
- Sicherheitslücken im Taschen-PC Blackberry, Okt. 2005
- Handyviren auf dem Vormarsch, Sept. 2005
- Norm-Entwurf ISO/IEC FDIS 27001 erschienen, Juli 2005
- Überarbeitete Norm ISO/IEC 17799:2005 liegt vor, Juli 2005
- Japanische Banken auf der Suche nach Kundendaten, Juli 2005
- Daten von mehr als 40 Millionen Kredikartenbesitzern gestohlen, Juni 2005
- Zunehmende Gefahr durch Botnets, Juni 2005
- Computerkriminalität ist 2004 gestiegen, Juni 2005
- Sicherheitslücken beim Transport von Datenbändern, Juni 2005
- Industriespionage mittels Trojanischen Pferdes, Mai 2005
- CIA simuliert Internet-Attacke, Mai 2005
- Offenbar Dialer mit Satellitenrufnummer 008813
- Computer-Festplatte mit vertraulichen Daten versteigert, April 2005
- Norm-Entwurf ISO 17799:2005, Feb. 2005
- Zahl an neuen Viren im Jahr 2004 angestiegen, Dez. 2004
- Umsatzsteuer-Erklärung über das Internet mittels "Elster", Dez. 2004
- Software-Upgrade mit Systemausfall, Nov. 2004
- Auswahl von Providern, Dienstleistern und Lieferanten, Nov. 2004
- Stromausfall Frankfurter Flughafen und Frankfurter Stadtteile, Nov. 2004
- EU-Forschungsprojekt Identitätsmanagement
- Schwachstellen in MIT Kerberos 5, Sep. 2004
- Sicherheitsrelevante Ereignisse und sicherheitsrelevante Schwachstellen
- Produkt zur Quantenverschlüsselung
- USA hat Terrorattacken simuliert
- Spam
- Ausfälle kritischer Infrastrukturen
Die 3. Auflage des Handbuchs Unternehmenssicherheit - aktualisiert und
erneut gewachsen - ist im Juli 2015 ersdchienen. Wenn Sie zu den ersten
Leserinnen oder Lesern gehören wollen, können Sie diese Auflage auf der
zum Buch gehörenden Webseite des Springer-Vieweg-Verlags oder im
Buchhandel bestellen. Die Gliederungsstruktur orientiert sich nun
stärker am Buch „IT-Sicherheit mit System“. Das Handbuch geht ein auf
das IT-Sicherheitsgesetz, das Energiewirtschaftsgesetz, die
Mindestanforderungen an die Sicherheit von Internetzahlungen sowie die
DGUV-Vorschriften. Relevante Gesetze, Standards, Normen und Practices
sind umfangreich aktualisiert und erweitert. Das Handbuch enthält
zusätzliche Analysen und Prinzipien sowie Managementdisziplinen. Die
Struktur der Prinzipien ist vereinheitlicht. Ein Unterkapitel der
Sicherheitsrichtlinien behandelt das Thema Pandemievorsorge. Zusätzliche
Verzeichnisse zu Tabellen, Checklisten, Beispielen, Tipps und
Informationen erleichtern das Finden.
Das IT-Sicherheitsgesetz
ist am 25. Juli 2015 in Kraft getreten. Das Gesetz fordert, dass
Betreiber kritischer Infrastrukturen dem Stand der Technik entsprechende
"angemessene organisatorische und technische Vorkehrungen" treffen
müssen, um "Störungen der Verfügbarkeit, Integrität, Authentizität und
Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder
Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen
Kritischen Infrastrukturen maßgeblich sind" zu vermeiden. Zu den
kritischen Infrastrukturen gehören "Einrichtungen, Anlagen oder Teile
davon, die 1. den Sektoren Energie, Informationstechnik und
Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung
sowie Finanz- und Versicherungswesen angehören und 2. von hoher
Bedeutung für das Funktionieren des Gemeinwesens sind". Per
Rechtsverordnung bestimmt das Bundesministerium des Innern, "welche
Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im
Sinne dieses Gesetzes gelten". Betreiber kritischer Infrastrukturen
müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI)
binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung eine
Kontaktstelle benennen und hierüber jederzeit erreichbar sein.
"Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der
Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer
informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem
Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von
ihnen betriebenen Kritischen Infrastrukturen 1. führen können oder 2.
geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu
melden". Strom- und Gasnetzbetreiber müssen ein
Informationssicherheitsmanagement (ISMS) nach DIN ISO/IEC 27001
etablieren sowie dessen Zertifizierung bis zum 31. Januar 2018
nachweisen. Als Netzbetreiber finden Sie weitere Informationen auf der
Homepage der ACG GmbH.
Die Heartbleed getaufte
OpenSSL-Sicherheitslücke, die diese Woche entdeckt wurde, ist der NSA
seit "mindestens zwei Jahren" bekannt, wie die FAZ am 12.04.2014 unter
Berufung auf die Finanznachrichtenagentur Bloomberg berichtet. Angreifer
können über diese Sicherheitslücke Daten und Passwörter von Nutzern
abgreifen und den Datenverkehr ausspionieren. Dies versetzt sie in die
Lage, im Internet auf Kosten der Kunden einzukaufen und Transaktionen
durchzuführen. Der FAZ zufolge hatte das russische
IT-Sicherheitsunternehmen Kaspersky die Webseiten von Facebook, Flickr
und Yahoo als vorübergehend verwundbar bezeichnet. Amazon, Apple und
Microsoft gaben mit dem Hinweis Entwarnung, dass sie für die
Verschlüsselung der Datenkommunikation andere Programme einsetzen. Die
Unternehmen Cisco und Juniper haben in ihren Switches und Routern
Sicherheitslücken entdeckt, wie die FAZ berichtet, und bieten neue
Softwareversionen an. Die BaFin überprüft dem Artikel zufolge nun
stichprobenartig die Systeme der Banken auf Sicherheitslücken. Einige
private Banken, die OpenSSL nutzten, haben laut Bundesverband deutscher
Banken "die Schwachstelle ... geschlossen".
Die 5. Auflage von
"IT-Sicherheit mit System" - neu bearbeitet, aktualisiert und erneut
gewachsen - ist im März 2014 erscheinen. Wenn Sie zu den ersten
Lerserinnen oder Lesern gehören wollen, können Sie diese Auflage auf der
zum Buch gehörenden Webseite des Springer-Vieweg-Verlags bestellen.
DIe
zweiten Auflagen der ISO 27001 und der ISO 27002 sind am 25. September
2013 erschienen. Die ISO 27001, ISMS - Requirements, hat auf oberster
Ebene eine neue Gliederungsstruktur erhalten, die derjenigen der ISO
22301, Business Continuity Management Systems - Requirements,
entspricht. Die ISO 27002 wurde umbenannt in Code of practice for
information security controls. Insgesamt behandelt die ISO 27002 auf
oberster Gliederungsebene nun 14 statt 12 Sicherheitsthemengebiete.
Schufa
erforscht, inwieweit Internetinformationen die Treffsicherheit ihrer
Bonitätsbewertungen erhöhen können wie die FAZ am 08.06.2012 schreibt.
Zusammen mit dem Hasso-Plattner-Institut in Potsdam soll in einem laut
Schufa dreijährigen Projekt erforscht werden, wie valide diese Daten
sind und ob die Schufa zu deren Gewinnung automatische Methoden
("Webcrawling") einsetzen kann. Im Fokus liegen dabei auch die Profile
von Mitgliedern in sozialen Netzwerken wie Facebook oder XING.
Betrachtet werden sollen auch der Kurznachrichtendienst Twitter, Texte
sollen zur Erzeugung von Meinungsbildern ebenso wie Mitarbeiter- und
Adressverzeichnisse ausgewertet werden. Die Bundesregierung kritisiert
das Vorgehen und auch der Branchenverband BITKOM warnt.
Ein
russischer Hacker hat 6,5 Millionen Linkedin-Passwörter erbeutet und im
Internet veröffentlicht wie die FAZ am 08.06.2012 schreibt. Dem Artikel
zufolge soll eine Datei mit den nur einfach verschlüsselten Passwörtern
im Internet kursieren. Sophos zufolge sind demnach 60% der gestohlenen
und verschlüsselten Passwörter bereits von Hackern entschlüsselt und
öffentlich bekannt.
Israel dursucht E-Mail-Accounts von
Einreisenden auf der Suche nach propalästinensischen Aktivisten wie die
FAZ in ihrer Freitagsausgabe am 08.06.2012 berichtet. Demzufolge
forderten israelische Geheimdienstmitarbeiter in den letzten Wochen
ausländische Einreisende am Tel Aviver Ben-Gurion-Flughafen auf, ihnen
EInblick in ihre privaten E-Mails zu geben. Einer Amerikanerin
palästinensischer Herkunft, die sich weigerte, wurde die Einreise
verweigert. Eine andere, die dies zuließ, wurde abgeschoben.
Cyber
Weapons in Form von Schadsoftware wie Stuxnet, Duqu und neuerdings
Flame haben seit einiger Zeit ein neues Kapitel der Kriegsführung
eröffnet, wie die FAZ in ihren Ausgaben vom 29. und 30. Mai sowie 2.
Juni 2012 berichtet. David Sanger, Leiter des Washingtoner Büros der
"New York Times" geht in seinem Buch, dessen Erscheinen für den 5. Juni
2012 angekündigt ist, auf die Cyberkriegsführung der Vereinigten Staaten
ein. Demzufolge sah sich Obama in der Situation, über den Einsatz einer
neuartigen Technologie entscheiden zu müssen, deren Implikationen noch
nicht zu ermessen sind. Cyber War und Drohneneinsätze scheinen dabei
Alternativen zu Invasionen und Bombennächten zu sein. Die neu entdeckte
Schadsoftware Flame soll ca. 500 Rechner in Ländern des Nahen Ostens und
in Afrika infiziert haben, davon 189 im Iran, wie die FAZ vom 29. Mai
2012 berichtet. Laut Kaspersky kann Flame Mikrofone einschalten, die mit
infizierten Computern verbunden sind, und so Internet-Telefonate, aber
auch Gespräche im Raum mitschneiden, wie die FAZ am 30. Mai 2012
berichtet. Ferner könne Flame die Bildschirmansicht fotografieren.
Die
Webseite des britischen Innenministeriums haben Anonymous-Hacker mit
einer Denial-of-Serice-Attacke am Samstag, den 07.04.2012, lahmgelegt,
wie Spiegel Online am 08.04.2012 berichtet. Protestieren wollen die
Internetaktivisten damit gegen Vorschläge der Regierung für eine
verschärfte Überwachung des Internets.
Kreditkartendaten von
knapp 1,5 Millionen Karteninhabern gestohlen wurden dem
Zahlungsdienstleister Global Payments bei einem Hacker-Angriff Anfang
März, wie die FAZ am 03.04.2012 berichtet. Von dem Angriff waren
demzufolge auch Unternehmen wie American Express und Mastercard
betroffen.
Der Bilanz- und Betrugsskandal rund um Olympus zieht
weite Kreise wie die FAZ am 9.11.2011 schreibt. Dem Bericht der FAZ
zufolge hat die Führungsspitze des japanischen Kameraherstellers
erklärt, das Unternehmen habe jahrelang Verluste aus Finanzanlagen
systematisch verschleiert, indem andere Firmen überteuert zugekauft
worden seien. Auf diese Weise seien die Geschäftsbücher manipuliert
worden. Wie die FAZ weiter schreibt, droht Olympus nach den Worten des
Sprechers der Tokioter Börse der Ausschluss vom Aktienmarkt.
Auf
Adidas fand am zurückliegenden Wochenende anscheinend ein Hackerangriff
statt, wie die FAZ am 7.11.2011 berichtet. Weiter heißt es, dass die
Webseite adidas.de nicht zu erreichen und Online-Shopping für den
deutschen Markt nicht möglich war. Dem Artikel zufolge bestätigte eine
Unternehmenssprecherin, dass die Adidas-Gruppe "Ziel einer kriminellen
Cyber-Attacke geworden" sei. Aus Sicherheitsgründen seien die Webseiten
vom Netz genommen worden.
Ein neues Forschungszentrum für
IT-Sicherheit ist in Darmstadt gegründet worden berichtet das
Darmstädter Echo am 3.11.2011. Das Forschungszentrum erhält demzufolge
rund acht Millionen Euro aus einem Förderprogramm des
Bundesforschungsministeriums. Im Wettbewerb um die Fördermittel belegte
das einreichende IT-Forschungszentrum "Cased" den Platz 1. Das neue
Institut beschäftigt sich mit Sicherheit und Datenschutz bereits beim
Entwurf von Software. Es trägt den Namen "European Center for Security
and Privacy by Design", kurz EC-Spride.
Anmerkung: Mit diesem
Forschungsschwerpunkt greift EC-Spride erfreulicherweise den Teilaspekt
Security and Privacy in einer wesentliche Phase im Lebenszyklus von
Software auf, die auch im Buch "IT-Sicherheit mit System" dargestellt
und Teil der Sicherheits(management)pyramide des Autors ist.
Ein
schwerer Bombenanschlag und ein Massaker haben Norwegen am Freitag, den
22.07.2011 tief erschüttert, wie die FAZ am 23.07.2011 schreibt.
Demzufolge explodierte gegen 15:30 Uhr im Regierungsviertel eine Bombe,
die 7 Personen tötete und das Regierungsgebäude beschädigte, in dem sich
auch das Büro des sozialdemokratischen Ministerpräsidenten Stoltenberg
befindet. Kurze Zeit später eröffnete ein Mann in Polizeiuniform auf der
Fjordinsel Utoya in einem sozialdemokratischen Jugend-Ferienlager das
Feuer auf die Teilnehmer und tötete wie ZDF spezial am 23.07.2011
berichtete 85 Menschen. Wie faz.net am 23.07.2011 schreibt, wurde nach
der Schießerei ein Norweger verhaftet, der Kontakt in die rechte Szene
haben soll und gegebenenfalls auch für das Bombenattentat verantwortlich
ist. Laut FAZ sprach die Polizei nach dem Bombenanschlag eine Warnung
vor weiteren Sprengsätzen aus und forderte dazu auf, das Stadtzentrum zu
verlassen. Mobiltelefone sollten nicht genutzt werden, um eine
Überlastung der Netze zu vermeiden.
Unterstützung erhalten
Whistleblower durch ein Urteil des Europäischen Gerichtshofs für
Menschenrechte (EGMR), wie die FAZ am 22.07.2011 berichtet. Der EGMR
erklärte die Kündigung einer Altenpflegerin für rechtswidrig. Die
Altenpflegerin hatte dem Bericht zufolge Strafanzeige gegen ihren
Arbeitgeber, einen landeseigenen Klinikbetreiber erstattet. Auch der
Medizinische Dienst der Krankenkassen (MDK) hatte bereits Mängel
entdeckt. Die Staatsanwaltschaft nahm jedoch keine Ermittlungen auf. Der
EGMR urteilte, dass es keine Anhaltspunkte für "wissentlich oder
leichtfertig" falsche Aussagen gebe. Der EGMR bewertet im vorliegenden
Fall zudem "das öffentliche Interesse" höher als den Schutz des Rufes
und der Geschäftsinteressen eines öffentlichen Unternehmens.
Einen
Schlag gegen die internationale Internetkriminalität unternahm das FBI
zusammen mit Behörden von 12 Ländern, wobei auch das BKA beteiligt war,
wie die FAZ am 24.06.2011 schreibt.Hierbei wurden Computer
sichergestellt. Der Schlag richtete sich gegen vermutete Betrüger, die
angebliche Virenschutzprogramme verkauften.
Bei einem
Hacker-Angriff auf den japanischen Videospielanbieter Sega wurden Daten
von 1,3 Millionen Kunden gestohlen wie die FAZ am 20.06.2011 berichtet.
Den unbekannten Angreifer gelang es demzufolge, Zugang zu einer
Datenbank zu erlangen, die Namen, Geburtsdaten, E-Mail-Adressen sowie
verschlüsselte Passwörter enthielt.
Der neue Bribery Act, das
Gesetz zur Bekämpfung der Korruption, tritt am 1. Juli 2011 in
Großbritannien in Kraft, wie die FAZ am 17.06.2011 berichtet. Demzufolge
wird er auch deutsche Unternehmen betreffen, die in Großbritannien
tätig sind. Besticht ein solches Unternehmen z. B. Geschäftspartner in
Frankreich, um dort Aufträge zu erzielen, kann es in Großbritannien zur
Verantwortung gezogen werden. Zudem haftet das Unternehmen auch für
Korruption durch externe Vermittler und Agenten wie die FAZ schreibt.
Das kommende Gesetz sieht Haftstrafen von bis zu 10 Jahren vor,
Geldstrafen sind unbegrenzt. Der Direktor von Transparency International
in Großbritannien hält den Bribery Act für "eines des besten
Antikorruptionsgesetze der Welt" .
isharegossip.com, die
Mobbing-Website, ist von Hackern lahmgelegt worden wie die FAZ am
15.06.2011 berichtet.Demzufolge fordern die Angreifer die
Administratoren und Organisatoren der Website auf, sich binnen einer
Woche der Polizei zu stellen. Andernfalls würden ihre Namen,
Zugangsdaten und Mail-Adressen veröffentlicht. Auf der Website wurden
Schüler diffamiert.
IWF, der Internationale Währungsfonds wurde
Opfer eines gezielten Datendiebstahls über das Internet wie die FAZ am
14.06.2011 berichtet. Auslöser soll eine Phishing-Mail gewesen sein.
Drei
mutmaßliche Hacker des Playstation-Netzes von Sony sind von spanischen
Behörden festgenommen worden, wie die FAZ am 11.06.2011 berichtet.
Demzufolge sollen sie nach Angaben der Polizei der Gruppe „Anonymous“
angehören und für Angriffe auf Regierungen und Unternehmen
verantwortlich sein.
Überwachungsmechanismen zeigen Wirkung und
bringen immer öfter Bestechungen ans Licht, wie die FAZ am 11.06.2011
berichtet. Diese wurden in den letzten Jahren intensiviert bzw.
etabliert, um Fehlverhalten aufzudecken und Compliance, d. h. die
Einhaltung von Gesetzen und Regelungen, im Unternehmen zu erreichen.
Hotlines für anonyme Hinweisgeber (Whistle Blower), bei Siemens „Tell
us“ genannt, liefern demzufolge Hinweise auf Korruption, Betrug, Untreue
und Umweltvergehen. Weiterhin sind Compliance-Prozesse erforderlich.
Abbau unnötiger Bürokratie und der Blick auf die Risiken des Geschäfts
sind bei Siemens Teil der Prävention. Transparency International fordert
dem Bericht zufolge ein systematisches Risikomanagement sowie
Korruptionsprävention mit maßgeschneiderten Compliance-Prozessen.
Anmerkung: Das „Handbuch Unternehmenssicherheit“ stellt ein Vorgehen für den systematischen Aufbau eines Risikomanagements vor.
„Hacker
sind in Rechner der Citigroup eingedrungen“ berichtet die FAZ am 10.
Juni 2011. Demzufolge hatten die Hacker Einblick in die Kundennamen, die
E-Mail-Adressen und die Kontonummern, nicht jedoch die Prüfziffer der
Kreditkarten. Betroffen sind 1% der Kunden. In Nordamerika hat die
Citigroup über 21 Millionen Kreditkartenkunden.
Eine Hackergruppe
ist in SonyPictures.com eingebrochen, wie die FAZ und das Darmstädter
Echo am 4. Juni 2011 berichten. Demzufolge gelang es, an rund eine
Million Nutzerdaten zu kommen. Diese umfassen Passwörter sowie Namen,
Anschriften, Geburtsdatum und E-Mail-Adressen. Die Hackergruppe hat eine
Auswahl der Daten kopiert und im Internet veröffentlicht, die sich in
Stichproben als authentisch erwiesen, wie das Darmstädter Echo schreibt.
Die Hackergruppe erklärte demnach, dass sie durch „SQL-Injections“
eindringen konnte und dass die Passwörter unverschlüsselt gespeichert
waren.
Anmerkung: Auf die Bedeutung der sicheren Entwicklung und der
Einhaltung von Entwicklungsstandards geht „IT-Sicherheit mit System“ im
Rahmen des Lebenszyklus ein. Die 4. Auflage des Buches spricht u. a.
sowohl SQL-Injections als auch die verschlüsselte Speicherung von
Passwörtern an.
Hacker haben hunderte von E-Mail-Konten von
Googles E-Mail-Dienst G-Mail angegriffen, wie die FAZ und das
Darmstädter Echo am 3. Juni 2011 berichten. Demzufolge scheinen die
Angriffe ihren Ursprung in der ostchinesischen Stadt Jinan, rund 400 km
südlich von Peking, zu haben. Wie das „Wall Street Journal“ demnach
berichtet, gibt es dort zum einen einen Aufklärungsstützpunkt der
Volksbefreiungsarmee und zum anderen eine große IT-Schule, die bereits
durch Cyber-Angriffe aufgefallen ist. Ziele der Angriffe waren die
E-Mail-Konten u.a. amerikanischer Politiker, politischer Aktivisten aus
China und Journalisten.
IT-Sicherheit mit System ist seit Mitte
Mai 2011 in der 4. Auflage im Buchhandel erhältlich, nachdem die
gedruckte Form der 3. Auflage längere Zeit vergriffen war. Die 4.
Auflage präsentiert sich – wie auch die 2. Auflage des Handbuchs
Unternehmenssicherheit – in frischem Design, ist neu bearbeitet,
aktualisiert und deutlich gewachsen, nämlich auf 577 Seiten. Ein eigenes
Kapitel widmet sich Standards, Normen und Practices. Das umfangreiche
Verzeichnis über Gesetze, Vorschriften, Normen und Practices am Ende des
Buches wurde umfangreich aktualisiert. Die Sicherheitspyramide liegt
nun in der verfeinerten Version V vor. Neue Prinzipien sind
hinzugekommen, die Begriffe ubiquitäre, d. h. allgegenwärtige, bzw.
pervasive, d. h. alles durchdringende, Sicherheit und Kontinuität wurden
eingeführt, die Themen Kontinuitäts- und Risikomanagement werden
intensiver behandelt und die relevanten Definitionen zum
Kontinuitätsmanagement, wie z. B. Notfall, Krise und Katastrophe,
ausgeweitet. Aktualisiert, erweitert bzw. neu hinzugekommen sind die
Themen Biometrie, Data Leakage Prevention, Cloud Computing und Grid
Computing.
Anmerkung: Den Leserinnen und Lesern von „IT-Sicherheit
mit System“ danke ich für ihr Interesse, das den Verlag zu einer
Neuauflage bewogen und mich zum weiteren Schreiben angeregt hat.
Die
KfW-Bankengruppe haftet für die Vergleichssumme von rund 120 Millionen
Dollar, die die Deutsche Telekom in den USA nach einer Sammelklage von
Aktionären gezahlt hat, wie die FAZ am 1. Juni 2011 berichtet und wie
aus der Mitteilung 91/2011 der Pressestelle des BGH hervorgeht. Dies hat
der II. Zivilsenat des Bundesgerichtshofs in Karlsruhe am
zurückliegenden Dienstag entschieden. Die Sammelklage bezog sich auf den
Vorwurf, beim dritten Börsengang nach der Privatisierung der Deutschen
Telekom falsche Angaben im Verkaufsprospekt gemacht zu haben. Die
Zahlungsverpflichtung für die KfW-Bankengruppe leiteten die Richter der
FAZ zufolge daraus ab, dass die Telekom die Verantwortung für den
Börsenprospekt übernommen und damit das Haftungsrisiko getragen habe.
Laut BGH stellt dies eine „Rückgewähr von Einlagen“ an ihre vorherige
Aktionärin, die KfW, dar. Dies ist nach §57 des AktG verboten. Für diese
Leistung habe die Telekom keinen vollwertigen Gegenanspruch bekommen.
Hieraus resultiere die Verpflichtung der KfW, die Telekom von den
Ansprüchen der Sammelklage freizustellen.
Der Rüstungskonzern
Lockheed war Ziel eines bedeutenden und hartnäckigen Hacker-Angriffs,
wie die FAZ am 20. Mai 2011 meldet. Demzufolge sei der Angriff jedoch
„fast ohne Verzug“ entdeckt worden. Außerdem habe Lockheed „aggressive
Maßnahmen“ ergriffen, um Daten und Systeme zu schützen. Die Systeme
seien sicher geblieben und weder Daten von Kunden noch von Mitarbeitern
kompromittiert worden.
Auf Mindeststandards im Internet haben
sich die Regierungen der G8 auf ihrem Gipfeltreffen in Frankreich
verständigt, wie die FAZ am 27. Mai 2011 berichtet. Gemeinsame
Prinzipien betreffen demzufolge auf der einen Seite die Freiheit des
Internets und auf der anderen Seite den Respekt vor geistigem Eigentum
und vor der Privatsphäre. Zum Schutz von intellektuellem Eigentum,
Handelsmarken, Geschäftsgeheimnissen und Patenten seien Regulierungen
erforderlich. „Quadrature du Net“, eine private Initiative, sieht in
Regulierungen eine potenzielle Gefahr für die Freiheit des Internet und
die kostenlosen Angebote im Internet.
Hacker haben das Netzwerk
für die Videospielkonsole Playstation von Sony geknackt und persönliche
Daten von etwa 77 Millionen Nutzern der Netzwerke gestohlen wie die FAZ
am 28. und 29. April 2011 berichtet. Die Daten wurden einem Sprecher von
Sony zufolge zwischen dem 17. und dem 19. April 2011 gestohlen. Als die
Sony-Techniker dies am 19. April 2011 bemerkten, fuhren sie die Systeme
sofort herunter. Der Vorfall wurde jedoch erst diese Woche bekannt. Zu
den gestohlenen Daten gehören demzufolge Adressen, Kennwörter,
E-Mail-Adressen und Geburtsdaten. Informationen über Kreditkarten
könnten möglicherweise ebenfalls gestohlen worden sein.
Der
Tornado im Süden der USA trennt das Atomkraftwerk Browns Ferry bei
Huntsville (Alabama) von der externen Stromversorgung, wie die FAZ am
29. April 2011 berichtet. Sieben Dieselgeneratoren übernahmen daraufhin
die Stromversorgung für das Kühlsystem. Der verheerende Tornado, der
laut FAZ vom 30. April 2011 zu den schlimmsten seit sieben Jahrzehnten
gehörte, hinterließ demzufolge eine über einen Kilometer breite Schneise
der Zerstörung. Insgesamt wurden am Mittwoch mehr als 160 Tornados
gemeldet, allerdings steht die Bestätigung der Zahl noch aus. Teilweise
hatten die Wirbelstürme eine Windgeschwindigkeit von mehr als 300
Stundenkilometern. Nach vorläufigen Angaben kamen allein in Alabama 210
Menschen ums Leben. Auch am Freitag, den 29. April 2011, waren noch bis
zu 1 Millionen Menschen, knapp 20% der Einwohner des Staates, ohne
Strom.
Anmerkung: Dies bestätigt erneut, dass auch mehrtägige
Stromausfälle im Bereich des Möglichen liegen. Zum anderen können
derartige Naturereignisse sehr großflächige Auswirkungen haben und
erfordern eine hinreichende Entfernung zwischen Ausweichlokationen und
einen geeigneten Schutz (siehe Distanzprinzip im "Handbuch
Unternehmenssicherheit" und in "IT-Sicherheit mit System"). Ein anderer
Weg von Tornados eines solchen Ausmaßes könnte bei einem Atomkraftwerk
zusätzlich zur Unterbrechung der externen Stromversorgung möglicherweise
auch die Stromversorgung der Kühlsysteme durch Dieselgeneratoren
bedrohen, sofern keine geeigneten Schutzmaßnahmen getroffen sind.
Fukushimas
Folgen in der Lieferkette zeichnen sich in verschiedenen
Industriezweigen ab. So wird es erforderlich, Produkte, z. B. PKW und
elektronische Geräte, einschließlich Komponenten auf Strahlenbelastung
zu prüfen. Laut FAZ vom 4. April 2011, die sich auf einen Bericht der
"Automobilwoche" bezieht, prüfen Importeure Neuwagen und Kfz-Teile vor
einer Auslieferung diesbezüglich. Mazda will demzufolge sicherstellen,
dass kein kontaminiertes Fahrzeug oder Ersatzteil in den Handel gelangt.
Auch Toyota will Gesundheitsgefährdungen ausschließen. Die japanische
Industrie, darunter auch die Automobilindustrie ist zudem von fehlenden
Zulieferteilen, Stromabschaltungen und dementsprechend stillstehender
Fertigung betroffen. Lieferengpässe zeigen sich in Deutschland erst
zeitlich verzögert, weil Teile oftmals wochenlang in Schiffen unterwegs
sind, wie die FAZ am 6. April 2011 berichtet. Merck KGaA will
Spezialfarben für die Autoindustrie demzufolge erst ab Juni 2011 wieder
in Japan produzieren. Die Elektronikindustrie macht sich Sorgen, dass
Vorprodukte in Form von Computerspeicherchips ausbleiben könnten. Japan
stellt 60% aller Siliziumscheiben für Computerchips her. Bis zum Sommer
könnten pro Monat 200.000 Wafer fehlen. Bridgestone, dessen japanischer
Zulieferer nahe Fukushima liegt, hat die synthetische Gummigewinnung
einem chinesischen Zulieferer übertragen.
Anmerkung: Diese Situation
zeigt, dass Redundanz (s.a. Handbuch Unternehmenssicherheit) auch für
die Zulieferkette gilt. Verwirklicht wird sie durch ein
Double-Source-Konzept.
Die 4. Auflage von "IT-Sicherheit mit
System" - neu bearbeitet, aktualisiert und erneut gewachsen - wird gemäß
der Ankündigung auf der zum Buch gehörenden Webseite des
VIEWEG+TEUBNER-Verlags im Mai 2011 erscheinen. Wenn Sie zu den ersten
Lerserinnen oder Lesern gehören wollen, können Sie diese Auflage auf der
zum Buch gehörenden Webseite des VIEWEG+TEUBNER-Verlags bestellen.
Die Schaffung eines Cyber-Abwehr-Zentrums für das Jahr 2011 hat der Sprecher des Bundesinnenministeriums angekündigt, wie die FAZ am 28.12.2010 schreibt. Es soll das vorhandene Know-how verschiedener Behörden, wie des Verfassungsschutzes, des BND und des BKA bündeln und im BSI angesiedelt werden. Grund für dieses Zentrum ist die Zunahme elektronischer Angriffe aus dem Ausland auf Computer deutscher Behörden. Dem Bericht zufolge liegt der Ursprung eines größeren Teils der Angriffe in China.
Datenschutzlücken hinsichtlich unbemannter Flugkörper mit eingebauten Kameras sieht Bundesverbraucherministerin Ilse Aigner, wie die FAZ am 27.12.2010 berichtet. Sie warnt vor dem illegalen Gebrauch derartiger ziviler Drohnen, die in helikopterähnlicher Form in Elektromärkten erhältlich sind. Zivile Drohnen für Videos und Luftaufnahmen sind bereits seit längerer Zeit im Industriebereich oder beim Film im Einsatz.
Als geheim oder vertraulich eingestufte amerikanische Dokumente hat Wikileaks im Internet veröffentlicht, wie die FAZ in Artikeln vom 30.11.2010 berichtet. Nach 9/11 und dort aufgetretenen Informationspannen gründete das amerikanische Außenministerium das interne Datennetz „SIPRNet“ (Secret Internet Protocol Router Network). In diesem sind vertrauliche und geheime Daten des Außen- und Verteidigungsministeriums abgelegt. Über 300.000 Personen haben darauf Zugriff. Dem Bericht zufolge wurde ein Anschlussverbot von USB-Sticks im Nachhinein wieder abgeschafft. Laut FAZ spricht angesichts des langsamen Tempos der Veröffentlichung durch Wikileaks einiges dafür, dass das Material geprüft wird. Zuvor hatte Wikileaks bereits Dokumente zum Afghanistan-Krieg veröffentlicht. In diesem Zusammenhang hatte Wikileaks eine AES-256 verschlüsselte Versicherungsdatei veröffentlicht, die Tarn- und Klarnamen amerikanischer Geheimdienstler enthalten soll. Für den Fall, dass Wikileaks eines Tages verschwunden sein sollte, könnte das Passwort dieser Datei „auftauchen“. Für die nahe Zukunft angekündigt hat Wikileaks die Veröffentlichung zehntausender interner Dokumente einer amerikanischen Großbank, die „unethische Praktiken“ belegen sollen.
Die amerikanische Außenministerin Clinton bezeichnete die Veröffentlichung vertraulicher und geheimer Dokumente des Außen- und Verteidigungsministeriums als einen „Angriff auf die außenpolitischen Interessen Amerikas“ und „auf die internationale Gemeinschaft“ und kündigte entschlossene Schritte gegen die Hintermänner an, wie die FAZ am 1.12.2010 schreibt.
Unmittelbar vor der Veröffentlichung sei laut FAZ eine DDoS-Attacke gegen Wikileaks beobachtet worden. Die Webseite war für 2 Stunden nicht erreichbar. Nach Assange, dem Gründer von Wikileaks, fahndet Schweden wegen des Verdachts auf Vergewaltigung. Amazon hat Wikileaks von seinen Servern genommen, wie die FAS am 5.12.2010 berichtet. Moneybookers und Paypal haben die Spendenkanäle zur Stiftung, die Geld für Wikileaks sammelt, geschlossen.
Im deutschen Auswärtigen Amt (AA) gibt es laut FAZ vom 30.11.2010 keine elektronische Sammelstelle vertraulicher Dokumente, auf die Tausende Diplomaten Zugriff haben. Sensible Berichte werden als Verschlusssache (VS) gekennzeichnet und dabei als vertraulich, geheim oder streng geheim klassifiziert. Spezifische sensible Informationen sollen auf separaten Computern abgelegt werden, zu denen nur hohe Dienstgrade Zugang haben. Die Bundeswehr verfügt über ein offenes „rotes“ und ein geheimes „schwarzes“ Netzwerk. Laut Verteidigungsministerium gilt für die Zugriffsberechtigungen auf Dokumente das „Need-to-know-Prinzip“.
Anmerkung: Damit das Need-to-know-Prinzip seine Wirkung entfalten kann, ist auf die geeignete Korrelation zwischen Sicherheitsklassifikation von Informationen und dem Kreis der Berechtigten zu achten. Im Rahmen des Innovationsmanagements sollten angemessene Marktbeobachtungen stattfinden, daraus resultierende Bedrohungen identifiziert und im Risikomanagement behandelt werden. Unternehmen und Regierungen sollten im Rahmen der Notfall-, Krisen- und Katastrophenvorsorgeplanung (siehe "Handbuch Unternehmenssicherheit") auch an den Umgang mit dem "Unmöglichen" denken.
Die 3. Auflage von "IT-Sicherheit mit System" ist seit November 2010 aufgrund der hohen Nachfrage leider bereits vergriffen. Auf der Homepage des VIEWEG+TEUBNER-Verlags können Sie sich mit einer Bestellung für eine spätere Lieferung vormerken lassen. Die Vorgehensweise anhand der Sicherheitspyramide finden Sie darüber hinaus im Handbuch Unternehmenssicherheit beschrieben, das derzeit in der 2. neu bearbeiteten Auflage vorliegt.
Eine Sicherheitslücke im Update-Programm des elektronischen Personalausweises (E-Perso) hat Jan Schejbal, Informatikstudent an der TU Darmstadt, entdeckt, wie das Darmstädter Echo am 12.11.2010 berichtet. Rund 10 Stunden benötigte er, um die Sicherheitslücke zu finden. Hierbei stellte er fest, dass die Aktualisierungssoftware nicht überprüft, ob der Internet-Server mit der Adresse download.ausweisapp.bund.de, der die Updates zur Verfügung stellt, auch zur korrekten IP-Adresse dieses Rechners führt. Über einen DNS-Spoofing-Angriff ließe sich "auf dem Rechner des Nutzers die Zuordnung des Server-Namens „download.ausweisapp.bund.de“ zu einer IP-Adresse manipulieren" teilt das BSI in einer Pressenotiz vom 10.11.2010 mit. Ein Angreifer hätte schließlich die Möglichkeit, „den Rechner des AusweisApp-Nutzers unter Kontrolle zu bringen“, schreibt das DA-Echo. Das BSI erklärt in seiner Pressenotiz, dass die beteiligten Firmen in Kürze eine überarbeitete Version der Software bereitstellen werden.
Eine Verschärfung der Sicherheitsvorkehrungen und Kontrollen von Luftfracht aufgrund konkreter Terrorgefahr haben die USA und ihre Verbündeten vorgenommen, nachdem in zwei per Luftfracht verschickten Paketen Druckerpatronen gefunden worden waren, die mit Plastiksprengstoff und Zündmechanismus präpariert waren. Dies berichtet die FAS am 31.10.2010. Die im Jemen aufgegebenen Pakete waren an jüdische Einrichtungen in Chicago adressiert. Laut britischem Premierminister Cameron sei das Paket mit dem Sprengsatz, der auf dem englischen East-Midlands-Flughafen gefunden worden war, so präpariert gewesen, dass er schon im Flugzeug hätte explodieren sollen. Der Londoner Polizei zufolge sei das Paket zuvor am Flughafen Köln/Bonn umgeladen worden.
Die geordnete Abwicklung großer Banken ist zukünftig möglich, wie die FAZ am 29.10.2010 berichtet. Am Donnerstag verabschiedete der Bundestag die Bankenabgabe, mit der ein Restrukturierungsfonds finanziert werden soll. Das Gesetz schafft einen Rechtsrahmen, um Banken im Krisenfall neu aufzustellen. Für die Geschäftsleitung wird die Haftungspflicht für Pflichtverletzungen von fünf auf zehn Jahre angehoben. Bündeln Banken Kredite in neue Wertpapiere, die sie am Markt verkaufen, müssen sie in den eigenen Büchern ein Risiko von mindestens fünf Prozent behalten, das von 2015 an auf zehn Prozent steigt.
750 Millionen US Dollar Strafe wegen massiver Produktionsfehler muss ein Pharmakonzern nach jahrelangem Rechtsstreit zahlen, wie die FAZ am 28. 10.2010 schreibt. Die frühere Qualitätsmanagerin hatte ihren Arbeitgeber lange Zeit vergeblich auf gravierende Produktionsmängel hingewiesen, wie verunreinigte Mittel, fehlende Wirkstoffe und falsche Dosierungen. Im Jahr 2003 wurde sie entlassen. Als Kronzeugin gegen den Pharmakonzern erhält sie aus der Strafe für den Pharmakonzern 96 Millionen US Dollar.
Krisenreaktionspläne auszuarbeiten, will die EU-Kommission Großbanken vorschreiben, wie die FAZ am 21.10.2010 berichtet. Hierin sollen die Banken ihre Reaktion auf eine finanzielle Schieflage oder Insolvenz darstellen. Die Abwicklung oder Restrukturierung einer Bank soll durch die Einnahmen aus der Bankenabgabe finanziert werden. In der Finanzkrise habe ein fehlender Werkzeugkasten „für den Umgang mit großen, „systemrelevanten“ Banken“ die Mitgliedsstaaten nach Meinung der EU-Kommission dazu gezwungen, angeschlagene Institute mit Steuermitteln zu retten. Für die Bankenrettung gaben die Mitgliedsstaaten dem Bericht zufolge 13% des Bruttoinlandsprodukts aus. Für die Zukunft müsse erreicht werden, dass Aktionäre und Gläubiger für die Rettung einer Bank aufkämen. Die EU-Kommission weist darauf hin, dass Banken andernfalls zu besonders riskanten und lukrativen Geschäften angeregt werden.
Höhere Prozess- und Haftungsrisiken könnten ausländischen Herstellern - einem Bericht der FAZ vom 13.10.2010 zufolge - aus dem geplanten „Foreign Manufacturers Legal Accountability Act“ drohen. Dies befürchten die Wirtschaft und die Bundesregierung. Betroffen wären dem Bericht zufolge die Chemie-, Arzneimittel-, Kosmetik- und Automobilindustrie sowie Hersteller solcher Produkte, die unter das amerikanische Verbraucherschutzgesetz fallen. Durch das Gesetz sollen amerikanische Geschädigte gegen ausländische Hersteller schneller und kostengünstiger prozessieren können. Mit dem Gesetz will die USA Konsequenzen aus dem „Chinese Drywall“ Skandal ziehen, bei dem nach dem Wirbelsturm „Katrina“ in Häusern Gipsplatten verbaut worden waren, die üble und mutmaßlich gesundheitsschädliche Gerüche absonderten. Damals bereitete die Übermittlung der Klageschriften an Unternehmen in China Schwierigkeiten. Dem geplanten Gesetz zufolge müssten Gerichtsdokumente dann nur noch an den amerikanischen Bevollmächtigten des Unternehmens geschickt werden. Sanktionen bis hin zu Importverboten drohen ausländischen Herstellern, die keinen amerikanischen Bevollmächtigten benennen. Zudem sieht der Gesetzentwurf vor, dass sich Unternehmen mit der Benennung des Bevollmächtigten automatisch der amerikanischen Gerichtsbarkeit unterwerfen. Der Bundesregierung und der deutschen Wirtschaft geht das geplante Gesetz zu weit. Nach Ansicht von Fachleuten hat sich bei grenzüberschreitenden Zustellungen von Schriftstücken in die EU das Haager Zustellungsabkommen bewährt.
Eine Umweltkatastrophe löste Anfang Oktober 2010 das geborstene Abfallbecken einer Aluminiumfabrik in der Stadt Ajka in Westungarn aus, bei der Bauxitschlamm ausgelaufen war, wie die FAZ u.a. am 8., 11. und 13.10.2010 berichtet. Der giftige Rotschlamm überschwemmte mehrere nahe gelegene Dörfer, forderte mehrere Tote und machte die Evakuierung größerer Gebiete erforderlich. Entlang der Donau schlummern wohl noch weitere Umweltrisiken. Dem Bericht zufolge gebe es in Ungarn 260 kritische Deponien, davon acht besonders gefährliche vermutet die Umweltschutzorganisation WWF und bezieht sich auf einen Bericht der EU aus dem Jahr 2004. Etwa 80 km von Budapest entfernt, nahe an einem Fluss liegt das größte Rotschlammbecken. WWF zufolge liegen weitere Rotschlammdeponien in Rumänien, Montenegro, Bosnien und Herzegowina, Kroation und der Slowakei. In Serbien befinden sich zwei Deponien nahe der Donau.
Anmerkung: Die Anwendung des „Prinzips der Sicherheitsschalen“ in Form einer zweiten umrahmenden und abgegrenzten Zone hätte helfen können, das Ausmaß der Katastrophe zu reduzieren, oder Zeit zu gewinnen.
Das Handbuch Unternehmenssicherheit ist in der 2. umfangreich neu bearbeiteten Auflage seit Ende September 2010 im Buchhandel. In den letzten Monaten war das Handbuch nachfragebedingt vergriffen, was ich bedaure. Wer zu den ersten Leserinnen oder Lesern des neu bearbeiteten und neu gestalteten Handbuchs gehören will, kann dieses im Buchhandel bestellen. Das Handbuch Unternehmenssicherheit baut wie in der 1. Auflage und wie auch das Buch "IT-Sicherheit mit System" auf der Vorgehensweise meiner dreidimensionalen Sicherheitspyramide auf. Ausgangspunkt ist die Sicherheitspolitik des Unternehmens, der die konkreten Sicherheitsanforderungen folgen. Der Aufbau des Sicherheitsmanagements erfolgt über weitere Ebenen mit Sicherheitsrichtlinien und Sicherheitskonzepten bis hin zu den Sicherheitsmaßnahmen. Darüber hinaus beinhaltet das Sicherheitsmanagement einen Regelkreis mit Scorecard und Berichtswesen sowie den Lebenszyklus. Das Buch behandelt die Managementdisziplinen Sicherheits-, Kontinuitäts- und Risikomanagement, aber z. B. auch das Compliance-, das Arbeitsschutz- und das Datenschutzmanagement. Gegenüber "IT-Sicherheit mit System" geht es stärker auf die Sicherheit des Gesamtunternehmens ein, führt externe Anforderungen in Form von Gesetzen - einschließlich Haftungsthematiken - und aufsichtsbehördlichen Vorgaben an, und geht auch auf Arbeitsschutz und Arbeitssicherheit ein. Das umfangreiche Verzeichnis über Gesetze, Vorschriften, Standards und Normen verschafft Interessierten einen Überblick über externe Rahmenbedingungen. Leserinnen und Lesern wünsche ich schon jetzt eine weiterführende Lektüre. Weitere Informationen finden Sie unter www.sicherheitspyramide.de. Bei Käuferinnen und Käufern der 1. Auflage bedanke ich mich für ihr Interesse, das den Verlag veranlasst hat, die 2. Auflage herauszubringen.
Optimierungspotenzial im Datenschutz gibt es auch bei der Drogeriemarktkette Schlecker, wie das Darmstädter Echo und die FAZ am 28. August 2010 berichten. Demzufolge waren die Datensätze von 150.000 Online-Kunden betroffen. Hierbei sollen Namen und Adressen, Geschlecht, E-Mail-Adresse und Kunden-Profil zugänglich gewesen sein. Das Datenleck soll bei einem externen Dienstleister aufgetreten sein, der auch für die Allianz, das Bundesverwaltungsgericht und das Finanzministerium tätig ist. Der rheinland-pfälzische Datenschützer Wagner weist dem Darmstädter Echo zufolge darauf hin, dass der Datenschutz "bereits bei der Planung von Geschäftsprozessen beachtet werden" müsse. Laut einem Bericht des "Spiegel" waren im Jahr 2009 200.000 Dokumente für Unberechtigte zugänglich, die sensible Informationen über Mitarbeiter, wie z. B. Krankmeldungen, Diagnosen und Abmahnungen enthielten.
Anmerkung: Das "Handbuch Unternehmenssicherheit" geht auch in der 2. neu bearbeiteten Auflage auf Anforderungen des Datenschutzes ein. Die dreidimensionale Sicherheitspyramide, die dort beschrieben ist, geht unter dem Begriff Prozesslebenszyklus auf die Integration von Sicherheitsaspekten in den Lebenszyklus von Prozessen bereits ab den ersten Überlegungen ein.
Der Grafikkartenhersteller Nvidia macht nicht zuletzt aufgrund eines Produktmangels Verluste, wie die FAZ am 14. August 2010 berichtet.Demzufolge fielen die Chips in Notebooks bei hohen Temperaturen infolge eines Materialfehlers aus. Zur Fehlerbeseitigung und für eine laufende Schadenersatzklage legte Nvidia knapp 194 Millionen Dollar zurück. Außerdem verlief das Geschäft in Europa und Asien aufgrund geänderter Kundennachfrage schleppend.
Das Handbuch Unternehmenssicherheit ist in der 2. Auflage für den September 2010 angekündigt, wie auf der dazugehörigen Webseite des VIEWEG+TEUBNER-Verlages zu lesen ist. In den letzten Monaten war das Handbuch nachfragebedingt vergriffen. Wer zu den ersten Leserinnen oder Lesern des neu bearbeiteten und neu gestalteten Handbuchs gehören will, kann dieses bei VIEWEG+TEUBNER bestellen. Das Handbuch Unternehmenssicherheit baut wie in der 1. Auflage und wie auch das Buch "IT-Sicherheit mit System" auf der Vorgehensweise meiner dreidimensionalen Sicherheitspyramide auf. Ausgangspunkt ist die Sicherheitspolitik des Unternehmens, der die konkreten Sicherheitsanforderungen folgen. Der Aufbau des Sicherheitsmanagements erfolgt über weitere Ebenen mit Sicherheitsrichtlinien und Sicherheitskonzepten bis hin zu den Sicherheitsmaßnahmen. Darüber hinaus beinhaltet das Sicherheitsmanagement einen Regelkreis mit Scorecard und Berichtswesen sowie den Lebenszyklus. Das Buch behandelt die Managementdisziplinen Sicherheits-, Kontinuitäts- und Risikomanagement, aber z. B. auch das Compliance-, das Arbeitsschutz- und das Datenschutzmanagement. Gegenüber "IT-Sicherheit mit System" geht es stärker auf die Sicherheit des Gesamtunternehmens ein, führt externe Anforderungen in Form von Gesetzen - einschließlich Haftungsthematiken - und aufsichtsbehördlichen Vorgaben an, und geht auch auf Arbeitsschutz und Arbeitssicherheit ein. Das umfangreiche Verzeichnis über Gesetze, Vorschriften, Standards und Normen verschafft Interessierten einen Überblick über externe Rahmenbedingungen. Leserinnen und Lesern wünsche ich schon jetzt eine weiterführende Lektüre. Bei Käuferinnen und Käufern der 1. Auflage bedanke ich mich für ihr Interesse, das den Verlag veranlasst hat, die 2. Auflage herauszubringen.
Banken rufen Kreditkarten zurück, nachdem es zu einem Datendiebstahl bei einem spanischen Dienstleister für Kreditkartenabrechnungen gekommen ist, wie die FAZ und das Darmstädter Echo am 19. und 20.11.2009 berichtet. Die betroffenen Kreditkarten sind von ihren Inhabern vor wenigen Wochen in Spanien genutzt worden. Vereinzelte Schäden haben zu dem präventiven großflächigen Umtausch geführt
Ein zweistündiger Systemstopp legte die Terminbörse Eurex lahm, wie die FAZ am 19.11.2009 berichtete. Demzufolge wurde der Handel aufgrund eines technischen Problems um 11:20 Uhr unterbrochen und um 13:25 Uhr nach dem Wiederanlauf der Systeme wiederaufgenommen. Der Ausfall von Eurex beeinträchtigte das Geschäft mit Finanzderivaten weltweit.
Ein Brand im Wäschelager des Uniklinikums Heidelberg verursacht einen geschätzten Schaden von 1 Millionen Euro, wie das Uniklinikum Heidelberg in seiner Pressenotiz vom 24. Juni 2009 berichtet. Die baulichen Brandschutzmaßnahmen, der schnelle Einsatz der Feuerwehr und des technischen sowie des SIcherheitspersonals konnten größere Schäden vermeiden. Der Klinikbetrieb und die Sicherheit der Patienten waren demzufolge zu keiner Zeit beeinträchtigt. Die Staatsanwaltschaft und die Polizei untersuchen die Brandursache. Nach Ansicht von Experten waren ölige Putzlappen die Brandursache wie das Darmstädter Echo Am 27. Juni 2009 berichtet.
Die finalen Entwürfe der lang erwarteten ISO/IEC FCD 27003 und 27004 liegen vor. Die ISO/IEC FCD 27003 liefert einen ISMS Implementierungsleitfaden, die ISO/IEC FCD 27004 befasst sich mit IS-Kennzahlen und IS-Messverfahren. (Kurzfassung: s. Quellenangaben am Ende dieser Seite)
Anmerkung: Leser von "IT-Sicherheit mit System" und dem "Handbuch Unternehmenssicherheit" kennen die Vorgehensweise des Autors zum Aufbau eines ISM sowie zum Sicherheitscontrolling und dessen Sicherheitsregelkreis seit langem.
Das Mobilfunknetz T-Mobile fiel am 21.4.2009 kurz nach 16:00 Uhr weitgehend aus, wie T-Mobile in einer Pressemitteilung vom 22.4.2009 meldet. Rund 75% der Kunden waren von dem Ausfall der Sprach- und SMS-Dienste betroffen. Gegen 21 Uhr konnten T-Mobile-Kunden die Dienste wieder in der gewohnten Qualität nutzen. Als Ursache identifizierte T-Mobile einen Softwarefehler im Home Location Register (HLR).
Anmerkung: Leser von IT-Sicherheit mit System (2008) bzw. des Handbuchs Unternehmenssicherheit wissen, dass Change und Release Management ebenso wie der Test wesentliche Elemente für einen kontinuierlichen und sicheren (IT-)Betrieb sind. Der Netzausfall zeigt, dass das in diesen Büchern benannte Prinzip der Pfadanalyse, das im Handbuch Unternehmenssicherheit u. a. anhand der Telekommunikation aufgezeigt ist, stets als wesentliches Element der Kontinuität zu beachten ist.
Kundenpapiere einer Darmstädter Bankfiliale im Altpapier-Container fand ein Vierundvierzigjähriger in Darmstadt, wie das Darmstädter Echo am 11. April 2009 berichtet. Der Karton enthielt demzufolge Papiere mit persönlichen Daten einschließlich der vollständigen Anschrift, Kontoauszügen, Meldungen der Schufa über Bankkunden, Bewertungen der Kreditwürdigkeit, Angaben über die Vermögenssituation, laufende Ausgaben und Gehaltsabrechnungen. Die Ursache der Panne ist derzeit noch unklar.
Eine Unachtsamkeit führte zum Rücktritt des Leiters der britischen Terrorabwehr, wie die FAZ am 11. April 2009 berichtet. Bob Quick, der Leiter der britischen Terrorabwehr, trug am Mittwoch geheime Unterlagen offen unter dem Arm, als er aus dem Auto stieg, um sich mit Premierminister Brown zu treffen. Auf den Bildern eines Pressefotografen konnte man Teile der Akte lesen. Da die Polizei fürchten musste, dass die mutmaßlichen Terroristen dadurch gewarnt würden, zog sie die Operation vor und stürmte tagsüber Häuser in Manchester und Liverpool.
Hacker sind in das US-Stromnetz eingedrungen berichtet sueddeutsche.de am 8. April 2009 und bezieht sich dabei auf Angaben des Wall Street Journal. Demzufolge gaben US-Sicherheitsbehörden an, dass die Hacker in den computergesteuerten Systemen Programme hinterlassen hätten, mit Hilfe derer die Elektrizitätsversorgung der USA gestört werden könne.
Sind E-Mails einer tarifzuständigen Gewerkschaft an Arbeitnehmer zulässig? Diese Frage ergab sich im Kontext des Rücktritts von Hartmut Mehdorn im März 2009 bei der Deutschen Bahn, die im Tarfikonflikt im Jahr 2007 Mails der Lokomotivführergewerkschaft GDL abgefangen haben soll, wie die FAZ am 31. März 2009 berichtet. Hierzu existiert eine Entscheidung des Bundesarbeitsgerichts vom 20. Januar 2009. Demzufolge darf eine tarifzuständige Gewerkschaft sich auch dann "an Arbeitnehmer über deren betriebliche E-Mail-Adressen mit Werbung und Informationen wenden", "wenn der Arbeitgeber den Gebrauch der E-Mail-Adressen zu privaten Zwecken untersagt hat." Allerdings darf "der E-Mail-Versand nicht zu nennenswerten Betriebsablaufstörungen oder spürbaren, der Gewerkschaft zuzurechnenden wirtschaftlichen Belastungen" führen. Die Deutsche Bahn hatte laut FAZ angeführt, dass durch die Massen-Mails ein Server zusammengebrochen sei.
Anstehen im Internet zum Abwracken war am ersten Tag des Online-Verfahrens zur Beantragung der Abwrackprämie angesagt, wie faz.net am 30. März 2009 berichtet. So kam es nach der Freischaltung der Seite am Montag um 8 Uhr aufgrund technischer Probleme "zu Schwierigkeiten beim Aufruf und Ausfüllen des Reservierungsantrags", teilte das Amt für Wirtschaft und Ausfuhrkontrolle (Bafa) mit. Die Probleme lägen allerdings außerhalb des Einflussbereichs der Bafa. Wie das Darmstädter Echo am 2. April 2009 berichtet, liegt dies laut Bafa-Sprecher Holger Beutel an den mangelnden Kapazitäten im Internet. Während zuvor 441.000 schriftliche Anträge eingingen, belief sich die Zahl der Anträge über das Online-Verfahren bis Mittwoch Abend auf 570.000, wie das Darmstädter Echo meldet.
Das Forschungszentrum für IT-Sicherheit, kurz Cased, offiziell eingeweiht hat am Freitag, den 6. Februar 2009, die neue hessische Wirtschaftsministerin Eva Kühne-Hörmann, wie das Darmstädter Echo am 7. Februar 2009 berichtet. Das Center für Advanced Security Research Darmstadt (Cased), bündelt die IT-Kompetenzen der Technischen Universität, der Hochschule Darmstadt und des Fraunhofer-Instituts für Sichere Informationstechnologie. Koordinatorin von Cased ist Frau Professor Dr. Claudia Eckert. Das Forschungszentrum befasst sich mit den drei Arbeitsgebieten Sicherheit der Daten, der Dinge und der Dienste.
Anmerkung: Informationen zu „intelligenten“ Gegenständen bzw. Dingen finden Sie u. a. im Buch „IT für Manager“.
Eine technische Panne hat den Flugbetrieb am Flughafen Frankfurt behindert, wie faz.net und das Darmstädter Echo am 23. Januar 2009 berichten. Demzufolge habe nach Aussagen der Deutschen Flugsicherung (DFS) am Donnerstagmorgen von 6.35 bis 7.25 die Datenübermittlung nicht funktioniert, so dass keine verbindliche Sichtdaten zur Verfügung standen. Laut Deutschem Wetterdienst (DWD) habe es nicht an DWD-Geräten und Leitungen gelegen, da diese bis zum Modem der DFS überprüft worden seien. Um 7.25 habe der DWD eine Ersatzleitung geschaltet. Aufgrund der Panne mussten laut Darmstädter Echo 25 Maschinen auf anderen Flughäfen zwischenlanden und 75 Starts und Landungen gestrichen werden.
Anmerkung: Pfadanalyse und Redundanz, die im "Handbuch Unternehmenssicherheit" und in "IT-Sicherheit mit System" angesprochen werden, sind wesentliche Elemente eines kontinuierlichen Betriebs.
Ein massiver Netzausfall bei der Deutschen Bahn führte am 14. Januar 2009 zu erheblichen Störungen und Verspätungen wie AFP, WELT Online und FAZ.NET am 14. und 15. Januar 2009 berichten. Betroffen hiervon waren sowohl das Ticketverkaufssystem als auch das Anzeige- und Kommunikationssystem, über das Züge in vielen Bahnhöfen im regulären Betrieb automatisiert die Erlaubnis zur Abfahrt erhalten, wie die Medien berichten. Dadurch konnten Bahnkunden keine Fahrkarten über das Internet, über Automaten oder am Schalter lösen. Die Kommunikationsstörung führte dazu, dass auf ein Notfallsystem umgestellt werden musste. Dies führte zu Verzögerungen und zu Verspätungen, die ihrerseits weitere Verspätungen bei anderen Zügen zur Folge hatten.
Über einen umfangreichen Diebstahl von Kreditkartendaten berichtet die Frankfurter Rundschau (FR) am 12. Dezember 2008. Die FR erhielt demzufolge am Freitag, den 12. Dezember 2008 von einem unbekannten Absender einen Pappkarton mit hunderten Microfiches aus diesem Jahr, auf denen sich Daten von Kreditkartenkunden befanden. Zu den Daten gehören Name und Anschrift des Kunden, Kreditkarten- und Kontonummer sowie die durchgeführten Buchungen mit dem Betrag. Nach Informationen der FR handelt es sich um Kreditkartendaten der Landesbank Berlin (LBB), dem größten deutschen Ausgabeinstitut von Kreditkarten. Hiervon betroffen sind auch Kreditkarten von ADAC und Amazon, für die die LBB Kreditkarten ausgibt. Nach Informationen der FR stammen die Microfiches von Atos Worldline, die die technische Seite des Kartenzahlungsverkehrs für die LBB abwickelt. Einem Bericht der Frankfurter Allgemeine Sonntagszeitung vom 14. Dezember 2008 sind die Daten einem Kurier entwendet worden. Die LBB bestätigte demzufolge den Datenverlust.
Anmerkung: Das Sicherheitsschalenmodell des Autors von "IT-Sicherheit mit System" und dem "Handbuch Unternehmenssicherheit" weist auf die Transportsicherung als einer Schale der erforderlichen Sicherungsmechanismen hin.
Über Datendiebstahl in großem Stil berichtet die FAZ am 8. Dezember 2008. Dabei bezieht sie sich auf einen Bericht der Zeitschrift "Wirtschaftswoche". Demzufolge befinden sich die Daten der Bankverbindungen von 21 Millionen Deutschen im Umlauf. Der "Wirtschaftswoche" zufolge seien ihr Daten für knapp zwölf Millionen Euro zum Kauf angeboten worden. Auf einer Muster-CD habe sie 1,2 Millionen Datensätzen erhalten und an die Staatsanwaltschaft Düsseldorf übergeben. Die Daten enthielten Angaben zur Person einschließlich Geburtsdatum sowie Kontonummer und Bankleitzahl, verschiedentlich sogar Angaben zur Vermögenslage. Im Extremfall können Dritte damit ohne Erlaubnis des Kontoinhabers Geld von einem Girokonto abbuchen. Laut "Wirtschaftswoche" führt die Suche nach den Datendieben vorrangig zu kleinen Callcenter-Betreibern. In der Kette vom Auftraggeber zum Callcenter und gegebenenfalls deren Subunternehmern kann es anscheinend zu Datenlecks kommen, wenn schlecht bezahlte Mitarbeiter ihr Gehalt durch Kopie und Weiterverkauf von Adressdaten aufbessern.
Sicherheit war ebenfalls ein Thema des IT-Gipfels in Darmstadt, wie das Darmstädter Echo am 21. November 2008 berichtet. Demzufolge entstand in jüngerer Vergangenheit durch Datendiebstahl beim Online-Banking ein Schaden von rund 19 Millionen Euro. Der elektronische Personalausweis und die sogenannte "de-Mail" sollen für mehr Sicherheit sorgen. Hinter dem Namen "de-Mail" verbergen sich Dienste, wie sichere E-Mail und Identifizierung, über die Bürgerinnen und Bürger sowie Wirtschaft und Verwaltung Informationen vertraulich und zuverlässig austauschen können sollen. Der elektronische Ausweis im Scheckkartenformat soll es Nutzern u.a. ermöglichen, sich im Internet zu identifizieren und Transaktionen abzuwickeln. Hierzu benötigt der Nutzer einen PC mit entsprechender Software sowie einem Kartenlesegerät. Der Gegenpart, nämlich der Server des Unternehmens, wie z.B. einer Bank, muss mit einem Programm ausgestattet sein, das das Bundesinnenministerium zertifiziert hat und das es erlaubt, die Daten des Nutzers zu lesen. Die TU Darmstadt führt derzeit einen Pilotversuch mit einem elektronischen Ausweis durch, mit dem sich Anwender beispielsweise Bücher ausleihen oder Hausarbeiten herunterladen können.
Anmerkung: Wenngleich es auch hier eine absolute Sicherheit nicht geben wird und ein gewisses Risiko verbleiben wird, so geht es dennoch um eine höchstmögliche und gleichzeitig angemessene Sicherheit. Nicht vergessen werden sollte dabei allerdings, dass der Einzelne auch im täglichen Leben außerhalb der IT und des elektronischen Ausweises zwar Risiken zu optimieren sucht, aber auch dort das Leben nicht absolut sicher und risikofrei ist, wie Diebstahl, Betrügereien, Fälschungen u.Ä. zeigen.
Bei der Verleihung des Deutschen IT-Sicherheitspreises der Horst Görtz Stiftung am 24. Oktober 2008 wurden Innovationen in IT-Sicherheit ausgezeichnet, wie das Darmstädter Echo am 25. Oktober 2008 berichtet. Der erste Preis ging an ein Team von Nachwuchswissenschaftlern um Dr. Jörn Müller-Quade von der Universität Karlsruhe (TH). Sie entwickelten eine nicht manipulierbare Wahlmaschine. Den zweiten Preis erhielten der Informatikprofessor Dr. Johannes Buchmann und Erik Dahmen von der TU Darmstadt. Sie entwickelten ein neuartiges Signaturverfahren, das sie "FutureSign" tauften. Es soll demzufolge Computer in den nächsten 30 bis 40 Jahren schützen können, auch wenn in 10 bis 20 Jahren höchstleistungsfähige Quantencomputer im Einsatz sind. Den dritten Preis teilten sich Professor Dr. Dieter Bartmann vom Lehrstuhl für Wirtschaftsinformatik II von der Universität Regensburg und der Bonner Andreas Schuster. Prof. Bartmann entwickelte ein System, das Benutzer anhand ihres Tastenanschlags identifiziert. Mit Schusters System lassen sich schwer rekonstruierbare Datenzusammenhänge im Microsoft Windows-Betriebssystemkern aufspüren. Damit erleichtert es die forensische Arbeit.
Ein Gasunfall in Weiterstadt zeigt Evakuierungsprobleme auf, wie das Darmstädter Echo am 18. Oktober 2008 berichtet. Am Nachmittag des 16. Oktober 2008 beschädigte ein Bagger im Weiterstädter Industriegebiet Riedbahn auf der Baustelle der Einkaufsmall "Loop 5" eine Gasleitung, so dass Gas mit einem Druck von 12,5 Bar ausströmte, wie das Darmstädter Echo am 17. Oktober 2008 berichtet. Daraufhin wurde die Baustelle geräumt und das Gelände abgesperrt. Ein Bürogebäude in der Nachbarschaft wurde geräumt. Autofahrer erhielten über Radio Warnungen. Obwohl der Schaden schnell behoben werden konnte, wirft er beim Stadtbrandinspektor von Weiterstadt Fragen auf. Bereits jetzt stellte die Evakuierung eine organisatorische Herausforderung dar. Wenn das Einkaufszentrum in Betrieb ist und Tausende von Menschen aus der Einkaufsmall und benachbarten Gebäuden kurzfristig evakuiert werden müssen, erfordert dies entsprechenden Platz. Gleichzeitig benötigen die Rettungsfahrzeuge geeignete Zufahrtsstrecken. Bereits jetzt blieben Einsatzfahrzeuge im Feierabendverkehr stecken.
Anmerkung: Bei Bauarbeiten sollten Unternehmen stets gewärtig sein, dass Bagger Gas- oder Wasserrohre beschädigen oder Strom- und Telekommunikationskabel durchtrennen könnten. Evakuierungsplanungen sollten durch entsprechende Tests und Übungen verifiziert werden. Hierbei ist nicht nur ein Gebäude, sondern auch dessen Umfeld zu berücksichtigen.
17 Millionen Telefonnummern und Kundendaten wurden bei der Telekom entwendet, wie FAZ.Net am 5. Oktober 2008 berichtet. Der Datendiebstahl, bei dem demzufolge Name, Anschrift, Mobilfunknummer, teilweise das Geburtsdatum und vereinzelt die E-Mail-Adressen gestohlen wurden, betrifft T-Mobile, die Mobilfunksparte der Telekom und fand bereits im Jahr 2006 statt. Gelangen ihre Privatadressen in kriminelle Hände kann dies die Sicherheit von Politikern, Top-Managern und Milliardären gefährden. Seinen Kunden bietet T-Mobile dem Bericht zufolge den kostenlosen Wechsel der Rufnummer an.
Ein immenser Datenskandal hat sich in Norwegen ereignet, wie die FAZ und das Darmstädter Echo am 18. September 2008 berichten. In Norwegen wie auch in Schweden stellt die Steuerbehörde die Steuerdaten der Bürger der Öffentlichkeit zur Verfügung, um so eine größere Steuerehrlichkeit zu erreichen. Hierzu übermittelt sie diese Daten per CD an die Medien. Dieses Mal gelangten jedoch die streng geheimen dazugehörigen Personennummern, bestehend aus den Geburtsdaten und einer Zahlengruppe, mit auf die CD, die im Juni versandt worden war. Da die Personennummern zur Identifizierung der Bürger, z.B. bei Banken, Versicherungen, Krankenkassen und öffentlichen Behörden zum Einsatz kommen, besitzt der Skandal eine immense Größenordnung. Durch die Kenntnis der Personennummer können Unberechtigte potentiell Zugang zu vertraulichen Daten erhalten oder Betrüger Identitäten stehlen. Die CD schützt ein dreißigstelliger Code, der von der Steuerbehörde erfragt werden muss. Die Steuerbehörde sperrte die Ausgabe des Codes sofort nach Bekanntwerden der Panne.
Anmerkung: Das "Handbuch Unternehmenssicherheit" und "IT-Sicherheit mit System" nennen Sicherheitsprinzipien, wie z. B. das Vier-Augen-Prinzip und das Prinzip der Funktionstrennung. Diese Prinzipien sowie Checklisten können helfen, derartige Vorkommnisse zu vermeiden.
Durch Plagiate entsteht deutschen Unternehmen ein Milliardenschaden, wie die FAZ am 18. September 2008 unter Bezugnahme auf Schätzungen des Aktionskreises Deutsche Wirtschaft gegen Produkt- und Markenpiraterie (APM) berichtet, der den Schaden auf 30 Milliarden Euro beziffert. Einer Studie von Ernst & Young zufolge kaufen 28% aller Westeuropäer Plagiate, schreibt die FAZ weiter. Massiv gestiegen sei demzufolge der Handel mit gefälschten Medikamenten, Kosmetika und Spielzeugen. Für Kunden entstehen im Falle von Sicherheits- und Qualitätsmängeln erhebliche Risiken bis hin zu Gefahren für Leib und Leben, wie Plagiate des Blutverdünnungsmittels Heparin oder Plagiate von Kettensägen zeigen. Um Plagiate einzuschmuggeln, werden sie verschiedentlich unter Originale gemischt oder der Markenname erst hinter der Grenze aufgebracht.
Auf Schwachstellen in der Beta-Version von Googles Webbrowser Chrome weist heise im Newsticker vom 3. September 2008 hin. In der Beta-Version von Chrome, die demzufolge am 2. September 2008 zum Download freigegeben wurde, finden sich mehrere Schwachstellen, die in Kombination zu einer Sicherheitslücke führen. Während Google den Browser auf Arbeitsplatzsystemen einsetzt, ist von Tests auf Produktivsystemen abzuraten. heise weist auf eine Demo des Sicherheitsspezialisten Aviv Raff hin, die das Problem vorführt. Eine weitere Demo, die den Browser zum Absturz bringt, lässt Fragen an dessen Stabilität und Integrität aufkommen.
Ein Stromausfall in Mannheims Ortsteilen Käfertal und Vogelstang am Freitag, den 5. September 2008 um 13:50 Uhr war für die meisten Kunden nach rund 30 Minuten behoben, wie morgenweb.de berichtet. Nur ein kleines Gebiet in Käfertal musste länger auf die Stromversorgung verzichten, wie ein Sprecher der MVV Energie sagte.
Eigene Berichtsergänzung: Ein Möbelhaus konnte aufgrund des Stromausfalls und daraus resultierender Computerprobleme keine Möbel mehr ausgeben. Aus Kulanzgründen erhielten Selbstabholer eine kostenfreie Lieferung zugesagt.
Anmerkung: Gegen Stromausfälle sollte die IT jedes Unternehmens unter Kosten-Nutzen-Aspekten und Berücksichtigung von Worst-Case-Szenarien, im geschilderten Fall z. B. Haupteinkaufstage, angemessene Vorsorge betreiben. Der Imageschaden und die Zusatzkosten, z. B. durch anschließende kostenfreie Anlieferung, sollten dabei berücksichtigt werden. Hinweise zum systematischen und praxisorientierten Vorgehen liefert das in "IT-Sicherheit mit System" beschriebene Vorgehensmodell.
Computer-Malware hat es an Bord der Raumstation geschafft, wie die FAZ am 29. August 2008 berichtet. Eine Sprecherin der NASA bestätigte demzufolge, dass ein Trojaner, mit dem Passwörter und andere Daten gestohlen werden können, auf Laptops, die der Übermittlung von E-Mails der Astronauten dienen, an Bord der Raumstation gelangt sei. Die Laptops seien jedoch weder an die Raumstation noch an das Internet angeschlossen, betonte die Sprecherin, so dass die Raumstation dadurch nicht gefährdet sei.
Durch Wirtschaftskriminalität entsteht hoher Schaden. Dies geht aus einer Studie der Wirtschaftsprüfungsgesellschaft Price Waterhouse Coopers hervor, wie das Darmstädter Echo am 23. August 2008 berichtet. Pro Jahr beläuft sich der Schaden auf 6 Milliarden Euro. Auf der Veranstaltung der Wirtschaftsprüfungsgesellschaft am 22. August 2008 in Frankfurt sprach sich Bundesjustizministerin Brigitte Zypries dafür aus, den arbeitsrechtlichen Schutz von Arbeitnehmern zu verbessern, die bereit sind, Verstöße von Kollegen oder Vorgesetzten anzuzeigen ("Whistleblower"). Eine Untersuchung der Hochschule Pforzheim über Wirtschaftsstraftäter, die dort ebenfalls vorgestellt wurde, zeigt, dass die Bandbreite der Motive groß ist, so die FAZ am 23. August 2008. Sie reicht vom egoistischen Streben nach Luxus über Selbstüberschätzung und Verlustangst bis hin zur Enttäuschung bei der Verwirklichung persönlicher Visionen. Die Wissenschaftler empfehlen als Gegenmittel u.a. Anerkennung und Kontrolle, das Vier-Augen-Prinzip und Personalrotation. Das Darmstädter Echo berichtet weiter, dass nur 15% der Deutschen die Vorstände von Großunternehmen für vertrauenswürdig halten. Anmerkung: Leser des Handbuchs Unternehmenssicherheit kennen u.a. das Vier-Augen-Prinzip und zusätzlich die Themen Funktionstrennung sowie minimale Rechte als Sicherheitsprinzipien. Nicht zu vernachlässigen sind auch die Vorbildfunktion des Managements und das Betriebsklima.
Ein Bagger kappt am Rebstockgelände in Frankfurt bei Bauarbeiten acht Glasfaserkabel mit mehreren tausend Leitungen, berichtet hr-online am 2. Juli 2008. Betroffen hiervon waren demzufolge neben dem Kabelfernsehen auch internationale Telefon- und Internetverbindungen. Einschränkungen gab es dadurch auch beim Mobilfunknetz D1. Erst Ende Mai war das Kabelnetz u.a. in Wiesbaden, Eltville und Rodgau ausgefallen, weil ein Bagger ein Glasfaserkabel zerrissen hatte. Hiervon betroffen waren damals auch Auslandstelefonate.
Anmerkung: Dieses erstaulich oft zu hörende Bagger-Szenario zeigt, dass Notfallvorsorge stets die Anbindungen des Unternehmens an sein Umfeld mit berücksichtigen muss, wie dies im Rahmen der Pfadanalyse im "Handbuch Unternehmenssicherheit" dargestellt ist.
Die Korruption in Deutschland nimmt zu, wie der CPU Transparency-Index von Transparency International ausweist. In ihrer Ausgabe vom 27. Juni 2008 berichtet die FAZ, dass Korruption die deutsche Wirtschaft dieses Jahr 20 Milliarden Euro mehr kosten wird, verglichen mit dem Jahr 2007. Dies geht demzufolge aus Berechnungen des österreichischen Korruptionsfachmanns Friedrich Schneider, Universität Linz, hervor. Dem Index zufolge liegt Deutschland hinsichtlich Korruption auf Platz 16 der industrialisierten Länder. Bei Staaten, wie Finnland, Norwegen und Schweden, die korrupte Unternehmen längere Zeit von öffentlichen Aufträgen ausschließen, ist das Ausmaß an Korruption niedrig.
Anmerkung: Dies deutet darauf hin, dass die Konsequenzen für das Unternehmen und für die Verantwortlichen das Ausmaß der Korruption beeinflussen. Die schädigende Wirkung auf das Image sollte für Unternehmen ebenfalls ein Grund sein, geeignete Vorkehrungen im HInblick auf Governance und Compliance zu treffen.
Die FBI-Kampagne "Heimtückische Hypothek" führte zur Verhaftung von über 400 Verdächtigen, wie die Süddeutsche Zeitung am 21. Juni 2008 berichtet. Die prominentesten Verdächtigen sind demzufolge zwei Hedgefonds-Manager, die zwei Hedgefonds der Investmentbank Bear Stearns verwaltet hatten. Die Hedgefonds brachen im Juni 2007 zusammen. Dies war ein Vorbote für den Notverkauf der Investmentbank im März 2008 an J. P. Morgan Chase, der die Investmentbank vor dem Bankrott bewahrte. Bei den anderen verhafteten Personen handelt es sich um Immobilienvermittler, Anwälte, Gutachter und Kreditverleiher, wie das Darmstädter Echo am 21. Juni 2008 berichtet. Sie sollen demzufolge die "Einkommens- oder Vermögensangaben von Schuldnern gefälscht oder den Wert von Häusern zu hoch angesetzt haben, um Darlehen vergeben zu können". Banken bündelten die Kredite für Ramschimmobilien ("subprime") zu Wertpapieren und vermarkteten sie weltweit. Kreditinstitute und Finanzdienstleister mussten seit dem Sommer 2007, als die Spekulationsblase platzte, rund 400 Milliarden Dollar abschreiben.
Anmerkung: Der Fall der Investmentbank Bear Stearns zeigt beispielhaft, dass Unternehmenssicherheit, Risikomanagement und interne Kontrollsysteme wesentlich für die Überlebensfähigkeit eines Unternehmens sind. Das "Handbuch Unternehmenssicherheit" stellt das systematische Vorgehensmodell zur Unternehmenssicherheit anhand der Sicherheitspyramide vor .
Eine Zunahme der Computerkriminalität und eine Abnahme der Wirtschaftskriminalität verzeichnet die "Polizeiliche Kriminalitätsstatistik 2007" (PKS 2007). Die PKS 2007 registrierte eine Zunahme der Computerkriminalität um 6,4% auf 62.944 Fälle. Hierbei stiegen die Fallzahlen für das Ausspähen von Daten um 61,5% auf 4.829 Fälle. Die Aufklärungsquote im Bereich Computerkriminalität lag 2007 bei 42,3% gegenüber 47,1% im Jahr 2006. Die Wirtschaftskriminalität ging gegenüber dem Jahr 2006 um 8,3% auf 87.934 Fälle zurück, während von 2004 bis 2006 ein stetiger Anstieg zu verzeichnen war. Die Aufklärungsquote bei Wirtschaftskriminalität insgesamt belief sich laut PKS 2007 auf 95,1%, im Bereich Anlage- und Finanzierungsbereich auf 98,6%. Die erfassten Wettbewerbs-, Korruptions- und Amtsdelikte beliefen sich auf 6.629 Fälle. Dies entspricht einem Anstieg um 10% gegenüber 2006, wobei die Dunkelziffer auf ein Vielfaches geschätzt wird. Straftaten im Zusammenhang mit Urheberrechtsbestimmungen nahmen um 54,6% auf 32.374 Fälle zu.
Datenschutzrechtliche Bedenken gegenüber der Veröffentlichung detaillierter Straßenaufnahmen im Internet durch Google sind seitens der EU möglich, wie die FAZ am 16. Mai 2008 berichtet. Demzufolge sagte der Europäische Datenschutzbeauftragte Peter Hustinx "Das Aufnehmen von Bildern überall wird sicher einige Probleme aufwerfen". Dennoch äußerte er sich zuversichtlich, dass Google bei einer Einführung des Programms Google Street View das EU-Recht einhalten werde.
Über die groß angelegte Evakuierungsübung im Frankfurter Bankenviertel am 16. April 2008 berichtet die FAZ in ihrer Ausgabe vom 17. April 2008. Als Szenario diente der Fund einer Fliegerbombe. Es wurde auch deshalb gewählt, weil der Abzug eines großen Teils der Feuerwehr "nur" für eine Notfallübung schwer zu rechtfertigen gewesen wäre. So ist die Feuerwehr als Beobachter vor Ort. Per Konferenzschaltung besteht Kontakt zur Polizei. Um 13.55 Uhr geht in 9 Bankenhochhäusern der Alarm an. Im Commerzbank-Tower sagt eine ruhige und emotionslose Stimme vom Band "Dies ist eine Sicherheitsdurchsage." "Bitte verlassen Sie das Gebäude." In den Stockwerken werden die Feuerschutztüren geschlossen, die Aufzüge fahren automatisch ins Erdgeschoss. Mehr als 8.000 Menschen in 9 Hochhäusern setzen sich in Bewegung. Sie strömen aus Gebäuden der Bundesbank, der Commerzbank, der Deutschen Bank, der Dresdner Bank, der Europäischen Zentralbank und sammeln sich in der Taunusanlage. Dabei ist manch einem der Gedanke an den Terroranschlag in New York eher präsent als der an eine Fliegerbombe. Die Räumungsübung verläuft ruhig und vorbildlich. Nach einer halben Stunde sind die Gebäude geräumt. Eine vergleichbare Übung hat es laut Aussage des Sicherheitschefs der Commerzbank, der die Übung koordinierte, nur in London im Jahre 2005 gegeben.
Information Security - eine unternehmerische Aufgabe, so lautet der Artikel von Dr.-Ing. Klaus-Rainer Müller, der im Praxishandbuch "Information Security Management" des TÜV Media GmbH erschienen ist. Ausgangspunkt ist das Unternehmen und die Verantwortung des Topmanagements für dessen wirtschaftlichen Erfolg und die Zukunftssicherung. Auf dem Weg zur Erreichung dieser Ziele sind Rahmenbedingungen einzuhalten, die sich u. a. aus Gesetzen und den Anforderungen der Aufsichtsbehörden und Wirtschaftsprüfer ergeben. Compliance ist gefragt. Der Artikel gibt hierüber ebenso einen Überblick wie über Standards und "Practices". Der Autor führt aus, dass die Riskotragfähigkeit des Unternehmens bei der Festlegung des angestrebten Sicherheitsniveaus zu berücksichtigen ist. Er erläutert Bedrohungen, Unternehmensrisiken und persönliche Haftungsrisiken. Der Artikel beschreibt die Vorgehensweise zum Aufbau eines effizienten und zielgerichteten Informationssicherheits- managements (ISM), um der vitalen Bedeutung von Informationen und deren Verarbeitung Rechnung zu tragen. Er spricht organisatorische, technische und personelle Maßnahmen an, um Risiken angemessen zu reduzieren. Beispiele veranschaulichen Bedrohungen und die Risikostrategie. Die dazugehörige Präsentation "Managementaufgabe Information Security" unterstützt bei der Sensibilisierung.
Der BSI-Standard 100-4 zum Notfallmanagement ist in Heft 1, 2008, der Zeitschrift <kes> angekündigt. Den Ausführungen der Autoren Robert Kallwies und Angelika Jaschob folgend dürfte BSI 100-4 Parallelen zu Teilbereichen der Bücher „IT-Sicherheit mit System“ und „Handbuch Unternehmenssicherheit“ aufweisen (siehe Anmerkung). Der Standard beschäftigt sich mit der Notfallvorsorge und der Notfallbehandlung. Einleitend geht der Artikel ein auf die Informationssicherheit als integralen Bestandteil der Geschäftsprozesse. Die Autoren des <kes>-Artikels verweisen darauf, dass Unternehmen gesetzliche Anforderungen und Standards einhalten müssen und von Versorgungsnetzen für Wasser, Energie sowie Informations- und Kommunikationsnetzen abhängig sind. Dem <kes>-Artikel zufolge vollzieht das Grundschutzhandbuch durch die Synchronisation mit dem Standard ISO 27001 einen Paradigmenwechsel mit dem Ziel einer „ganzheitlichen prozessbezogenen Betrachtung der IT-Sicherheit“. Den im Grundschutzbaustein 1.3 „Notfallvorsorge-Konzept“ bisher fehlenden „iterativen Prozessregelkreis“ soll für den Bereich des Notfallmanagements der Standard BSI 100-4 liefern, wie die Autoren des Artikels schreiben. Innerhalb der Business Impact Analysis (BIA) können laut <kes>-Artikel die „Mindestanforderungen an einen potenziellen Notbetrieb mit erhoben werden“. Die Risikobereitschaft eines Unternehmens bestimmt in der Folge den Umfang an Maßnahmen. Als Phasen nennt der Artikel in der <kes> unter anderem den Wiederanlauf, den Notbetrieb, die Wiederherstellung und die Rückkehr in den Normalbetrieb. Der angekündigte Standard BSI 100-4 unterscheidet zwischen Tests und Übungen. Die Veröffentlichung des Standard BSI 100-4 ist für den Sommer 2008 avisiert. Als Literatur sind im Artikels nationale und internationale Standards und Practices angegeben.
Anmerkung: Die obigen Aussagen und manches "Wording" im <kes>-Artikel dürften Leserinnen und Lesern von „IT-Sicherheit mit System“ und dem „Handbuch Unternehmenssicherheit“ bekannt vorkommen und sie dürften sich ob ihres Wissensvorsprungs freuen. So heißt es im Handbuch Unternehmenssicherheit aus dem Jahr 2005: „Damit Sicherheit ein integraler Bestandteil des Unternehmens ist, müssen in alle betroffenen Prozesse [...] des Unternehmens Sicherheitselemente integriert [...] werden“. Die Bücher verweisen darauf, dass Unternehmen „relevante Gesetze [...] Normen und Standards [...]“ einhalten müssen und von „Versorgungsunternehmen für Gas, Wasser, Strom sowie Telekommunikation“ abhängig sind. Letzteres visualisiert eine Abbildung im Handbuch Unternehmenssicherheit. Leserinnen und Leser kennen die dort beschriebene ganzheitliche Sicht- und Vorgehensweise zur Unternehmens- und IT-Sicherheit, die Prozessorientierung sowie den PDCA-orientierten Sicherheitsmanagementprozess ebenso wie den Sicherheitsregelkreis. Das Unternehmen legt „seine Risikobereitschaft fest und definiert, welche Risiken [...] abgesichert werden müssen.“ Das Handbuch Unternehmenssicherheit führt aus, dass die Geschäftseinflussanalyse, die BIA, z. B. „die Ermittlung des Mindestgeschäftsbetriebs“ einschließt. Auch die notfallrelevanten Elemente Wiederanlauf, Notbetrieb, Wiederherstellung und „Rückkehr in den Normalbetrieb“ des BSI 100-4 gemäß <kes>-Artikel sind auf dieser Ebene vergleichbar mit der Bezeichnung in den genannten Büchern. Auch die Wortwahl aus obigen Büchern findet sich beispielsweise in der Bezeichnung der „Rückkehr in den Normalbetrieb“. Allerdings gibt es auch Unterschiede. So wählte der Buchautor fachlich bedingt die Bezeichnung „Übergang in den Notbetrieb“ statt des undifferenzierteren Begriffs „Wiederanlauf“, den er in einem anderen Kontext nutzt. Seit 2003 treffen die Bücher und auch der 2007 erschienene Artikel „Geplant, geübt, für gut befunden" des Autors im Kontext Notfallvorsorge die Unterscheidung zwischen Tests und Übungen, wie dies im angekündigten BSI Standard auch der Fall sein soll. Ebenfalls aus fachlichen Gründen verwenden die Bücher den Begriff Kontinuitätsmanagement statt des Teilbereichs Notfallmanagement.
Das Thema Kontinuitätsmanagement einschließlich BIA, Notfall- und Katastrophenvorsorge und den Vorschlag einer Gliederungsstruktur für ein entsprechendes Handbuch finden LeserInnen im „Handbuch Unternehmenssicherheit“ und in "IT-Sicherheit mit System".
Die Produktionsfortführung des Porsche 911 nach dem Produktionsstopp aufgrund einer Verpuffung im Stammwerk Zuffenhausen hat Porsche in seiner Pressemitteilung vom 29. Februar 2008 für Montag, den 3. März 2008, angekündigt. Der Gesamtschaden von mehreren hunderttausend Euro ist demzufolge weitgehend über Versicherungen abgedeckt. Durch den einwöchigen Produktionsausfall ist laut Pressemitteilung ein Produktionsrückstand von ca. 800 Fahrzeugen entstanden. Dieser soll im laufenden Geschäftsjahr durch Sondermaßnahmen vollständig ausgeglichen werden.
Online-Durchsuchungen sind eng begrenzt erlaubt, wie die FAZ und das Darmstädter Echo am 28. Februar 2008 berichten. Der Erste Senat des Bundesverfassungsgerichts in Karlsruhe hat demzufolge aus dem allgemeinen Persönlichkeitsrecht und dem Datenschutz, also dem Grundrecht auf informationelle Selbstbestimmung, das Grundrecht auf "Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" abgeleitet. Online-Durchsuchungen sind daher nur "unter engen Voraussetzungen" erlaubt. Die Erlaubnis von Online-Durchsuchungen erfordert Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut. Gefahr für Leib, Leben und Freiheit sowie den Bestand des Staates oder der Grundlage der menschlichen Existenz gehören zu derartigen Anhaltspunkten. Das Urteil fordert im Vorfeld der Online-Durchsuchung eine richterliche Anordnung. Davon unabhängig müssen "Kernbereiche privater Lebensgestaltung", z. B. Tagebuchaufzeichnungen geschützt bleiben. Die Vorschriften zu Online-Durchsuchungen im nordrhein-westfälischen Verfassungsschutzgesetz wurden demzufolge für nichtig erklärt.
Online-Durchsuchungen will das BKA mit einer "Remote Forensic Software" durchführen. Firewalls und Virenscanner allein dürften keinen ausreichenden Schutz davor bieten. Eingespielt werden könnte die BKA-Software über präparierte Internetseiten oder als getarnter Anhang einer E-Mail. Festplatten, die über moderne kryptographische Verfahren geeignet geschützt sind, dürften Durchsuchungen allerdings zumindest schwerer machen.
Eine Gasexplosion im Porsche-Werk Zuffenhausen am Morgen des 25. Februar 2008 lässt die Fertigung der Baureihe 911 für voraussichtlich mindestens zwei bis drei Tage stillstehen, wie Porsche in seiner Pressemitteilung vom 25. Februar 2008 mitteilt. Aktuell liegt die Produktionskapazität demzufolge pro Tag bei 160 Einheiten. Erste Ermittlungen deuten darauf hin, dass aus einem PVC-Gelierofen in der Lackiererei Gas ausgetreten ist. Durch die ausgelöste Sprinkleranlage standen nicht nur die Lackiererei sondern auch Teile der Produktion unter Wasser. Porsche bildete einen Krisenstab unter der Leitung des Produktionsvorstands und des Betriebsratsvorsitzenden. Der Krisenstab verschaffte sich nach dem Unfall vor Ort einen ersten Eindruck. Die Höhe des Sachschadens kann derzeit nicht beziffert werden.
Das Buch "IT für Manager" ist für April 2008 angekündigt, wie aus dem Webauftritt des VIEWEG-Verlags hervorgeht. Das Buch des Autoren-Duos Dr.-Ing. Klaus-Rainer Müller und Gerhard Neidhöfer ist von zwei beratenden Managern für Manager geschrieben. Es vermittelt Managern "kompakt, verständlich und paxisnah [...] einen aktuellen Einblick in die IT". Parallelen zwischen Unternehmen, Alltag und IT sowie Beispiele aus der Praxis machen die zunächst komplex erscheinende Materie und das Fachchinesisch verständlich und transparent. Der Untertitel lautet "Mit geschäftszentrierter IT zu Innovation, Effizienz und Transparenz". Der Weg von den Geschäftsanforderungen zur kennzahlengesteuerten IT-Organisation ist auch für IT-Leiter interessant. Das Buch erscheint in der Edition CIO der renommierten Fachzeitschrift CIO. Wer zu den ersten Leserinnen oder Lesern gehören möchte, kann sich das Buch bereits jetzt auf der zum Buch gehörenden Webseite des VIEWEG-Verlags bestellen.
Ein Betriebsunfall bei Merck in Darmstadt endete tödlich, wie das Darmstädter Echo am 23. Februar 2008 schreibt. Am Freitag um 10.25 Uhr ereignete sich In einer Produktionsanlage für Flüssigkristalle eine Verpuffung, bei der eine 29 Jahre alte Chemikantin tödliche Verletzungen erlitt. Als Ursache der Verpuffung werden Lösungsmittel angenommen. Merck ist weltweit führender Hersteller von Flüssigkristallen, die zur Produktion von LCD-Bildschirmen und Handy-Displays verwendet werden. Chemikalien sind bei dem Betriebsunfall nicht ausgetreten. Der Unfall ist der erste mit tödlichem Ausgang auf dem Darmstädter Merck-Produktionsgelände seit dem Jahr 1980. Laut Merck hat das Thema Sicherheit höchste Priorität und die Sicherheitseinrichtungen entsprechen einem hohe Standard. So gibt es ein Nachbarschafts-Informationssystem. 20.000 Gefahrenmelder sind auf dem Firmengelände installiert, die ein Austreten von Chemikalien registrieren. Kommt es aufgrund austretender Chemikalien zu Alarmen werden die Anwohner über Lautsprecher gewarnt. Alle Anwohner haben darüber hinaus eine Störfallbroschüre erhalten.
Über Kontrollmängel bei der Société Générale (SG) berichtet die FAZ in ihrer Ausgabe vom
22. Februar 2008. Demzufolge führte die Auflösung der ungesicherten Wetten auf Terminkontrakte eines Händlers zu einem Verlust von rund 4,9 Milliarden Euro. Aus den ersten Ergebnissen der dreiköpfigen Untersuchungskommission geht hervor, dass insgesamt 75 Warnungen nicht weiterverfolgt wurden, die es bei der Bank über 2 Jahre gegeben hat. Weiterhin wird dort ausgeführt, dass auffällige Transaktionen nicht ausreichend untersucht wurden und "bestimmte Kontrollen [...] gar nicht vorgesehen waren".
Eine Beeinträchtigung des Datenverkehrs nach Indien und Ägypten im Internet meldet die FAZ am 1. Februar 2008. Demzufolge war das Fiberglas-Unterwasserkabel mit dem Namen SEA-ME-WEE 4 (South East Asia - Middle East - West Europe 4), das auf mehr als 20.000 km Länge die Verbindung herstellt von Marseille im Westen über Algerien, Ägypten, Saudi-Arabien, Vereinigte Arabische Emirate, Pakistan, Indien bis nach Singapur, im Mittelmeer beschädigt worden. Anscheinend hätten Schiffe, die wegen eines heraufziehenden Sturms ankerten, mit ihren Ankern die Leitung beschädigt. Die Reparaturdauer wird auf bis zu zwei Wochen geschätzt. Die Vereinigung indischer Internetdiensleister rechnet mit Umsatzverlusten für Unternehmen. Hinzu kommen Mehrkosten für alternative Verbindungswege, die zudem meist langsamer seien. Ägyptische Call-Center melden der FAZ zufolge einen Geschäftsrückgang von über 30 Prozent, ägyptische Börsenhändler beklagen, dass sie internationale Aufträge nicht hätten aufgeben können, der viertgrößte indische Outsourcing-Konzern, sprach von leichten Beeinträchtigungen.
Eine Beeinträchtigung des Datenschutzes durch die neue europäische Passagier- datenrichtlinie befürchtet Bundesjustizministerin Zypries, wie die FAZ am 31. Januar 2008 berichtet. Nach ihrer Auffassung droht die Gefahr, dass auch Unbeteiligte überwacht und kontrolliert werden, indem ohne richterlichen Vorbehalt und ohne konkreten Verdacht den Sicherheitsbehörden zahlreiche persönliche Daten von Flugreisenden zur Verfügung gestellt und jahrelang aufbewahrt würden. Der Vorschlag der europäischen Kommission über die Verwendung von Fluggastdatensätzen zur Strafverfolgungszwecken, die Fluggastdaten- speicherung, wurde am 6. November 2007 vorgelegt. Ein erster informeller Meinungsaustausch fand am Freitag, den 25. Januar 2008 in Brdo, Slowenien, statt. Zweck der Richtlinie ist die Bekämpfung des Terrorismus und der organisierten Kriminalität. Zu den Datensätzen gehören u.a. Name, Anschrift, Telefon- und Kreditkartennummer.
Ein großflächiger Stromausfall taucht Karlsruhe ins Dunkel, wie FAZ.net am 31. Januar 2008 berichtet. Im Umspannwerk Karlsruhe West war am Mittwoch, den 30.01.2008, ein defekter 110-Kilovolt-Messwandler in Brand geraten, wie EnBW.com erläutert. Dies führte zu einem Kurzschluss in der elektrischen Anlage. Schutzeinrichtungen schalteten daraufhin die einspeisenden Transformatoren ab, wodurch die Stromversorgung der Stadt Karlsruhe ab 17:36 Uhr komplett unterbrochen war. Straßenlampen und Ampelanlagen fielen aus, Straßenbahnen blieben mitten auf der Strecke stehen, Menschen saßen in Aufzügen fest, Dunkelheit breitete sich aus. Zeitweise war das Mobilfunknetz zusammengebrochen und Telefonleitungen waren bis in den Abend tot oder überlastet, wie FAZ.net meldet. In Karlsruhe waren sämtliche Haushalte betroffen, aber auch Unternehmen. Das städtische Klinikum und verschiedene Geschäfte in der Innenstadt schalteten ihre Notstromaggregate ein. Das Rechenzentrum der FIDUCIA, das rund 800 Volksbanken und Raiffeisenbanken versorgt, lief dank Notstromversorgung ungestört weiter, wie FIDUCIA in einer Pressemitteilung berichtet. Ein Teil des Stadtgebiets wurde ab 17:53 Uhr, alle Kunden ab 18:50 Uhr wieder mit Strom versorgt, wie EnBW.com mitteilt.
Über den Diebstahl persönlicher Daten in Großbritannien berichtet die FAZ in ihrer Ausgabe vom 21. Januar 2008. Demzufolge ist einem Offizier der Royal Navy nachts ein Laptop aus einem Wagen gestohlen worden. Auf ihm befanden sich 600.000 Datensätze. Zum Teil enthielten diese Datensätze neben den Namen von Bewerbern und Rekruten die Daten zum Wohnort, die Pass- und Sozialversicherungsnummer sowie medizinische Details. Außerdem waren auf dem Laptop Bankverbindungen gespeichert.
Anmerkung: Der Umgang mit mobilen Geräten und Datenträgern erfordert besondere Vorsicht. Leser des Buches IT-Sicherheit mit System oder des Handbuchs Unternehmenssicherheit wissen, dass z. B. der Zugangsschutz zusammen mit der Verschlüsselung der Daten und der Sensibilisierung der Mitarbeiter Maßnahmen sind, um derartige Datenpannen und deren Folgen zu vermeiden oder zumindest zu vermindern.
Eine Datenpanne ereignete sich in Darmstadt, wie das Darmstädter Echo am 10. Januar 2008 berichtet. Demzufolge konnten Internetnutzer auf der Homepage der Stadt ein fiktives Wahlergebnis der bevorstehenden hessischen Landtagswahl sehen. Diese landesweit einheitlichen Daten waren zu Testzwecken eingestellt worden. Die Daten waren zwar nicht über die rechts auf der Internetseite anzuklickende Anwahl "Landtagswahl" aufrufbar, wurden jedoch nach Eingabe des Suchbegriffs "Landtagswahl" angezeigt. Die Stadt sperrte daraufhin den Zugang zu den Daten.
Für den Verlust von Datenträgern mit persönlichen Daten entschuldigte sich der britische Finanzminister Darling und Premierminister Gordon Brown, wie CIO online am 21.11.2007 und die FAZ am 22.11.2007 berichten. Demzufolge sind zwei CDs mit persönlichen Daten von über 20 Millionen Briten und damit fast der Hälfte der britischen Bevölkerung auf dem Postweg zum Nationalen Rechnungshof bereits am 18. Oktober 2007 verschwunden. Die CDs enthalten persönliche Daten wie Namen, Geburtsdaten, Kindergeld- und Sozialversicherungsnummern sowie Bankverbindungen. Darling befürchtete Betrugsversuche und ließ bei großen Geschäftsbanken Erkundigungen einziehen.
Anmerkung: Dass der Datenträgerversand per Post wie jeder Datenaustausch mit Risiken behaftet ist, ist bekannt. Frühere Fälle in Amerika bestätigen dies. Leser von "IT-Sicherheit mit System" oder dem "Handbuch Unternehmenssicherheit" kennen die Möglichkeit der Pfadanalyse und des Sicherheitsschalenmodells des Autors, u. a. mit den Schalen Abgangskontrolle und Transportsicherung, die auch das Thema Verschlüsselung anspricht. Diese Methoden helfen ebenso wie die dort angesprochenen Themen Poka Yoke, Schulung und Awareness, derartige Probleme präventiv zu vermeiden.
Die Nato beschäftigt sich mit dem Thema Cyber-Security, wie die FAZ am 22.11.2007 berichtet. Ziel ist es demzufolge, sich vor groß angelegten Angriffen aus dem Internet zu schützen, die sich gegen Staaten oder deren kritische Infrastruktur richten, oder auch die Netze eines Nato-Partners zum Angriff gegen einen Verbündeten nutzen. Bereits vor 5 Jahren hatte die Nato das "Nato Computer Incidents Response Capabilities Centre" in Form einer eigenen Dienststelle etabliert, die rund um die Uhr einsatzbereit ist. Deren Ziel ist der Schutz des hauseigenen standortübergreifenden Netzes gegen Internet-Angriffe. Die Nato berät derzeit darüber, das Nato-Zentrum zu einer Krisenreaktionszelle auszubauen, um Verbündete im Falle eines Cyber-Angriffs unterstützen zu können.
Präventive Sicherheitsmaßnahmen gegen DDoS-Attacken (Distributed-Denial-of-Service -Attacken) liegen - wie auch bei Unternehmen - in der kontinuierlichen Beobachtung der Netzaktivitäten sowie in Notfallplänen und präventiven Sicherheitsmaßnahmen, um beispielsweise auf alternative Netzverbindungen ausweichen oder die Bandbreite erhöhen zu können.
Hessische Polizisten fahnden im Internet. Dies geht aus der Pressemitteilung des hessischen Innenministeriums vom 8. November 2007 hervor. Demzufolge richtet Hessen seit November als erstes Bundesland Internetkommissariate in Form der Fachkommissariate ZK 50 ein, die Straftaten mit Internetbezug verfolgen. Dies ist insbesondere auch deshalb angeraten, weil die Straftaten im Internet aus zweierlei Richtungen steigen: Zum einen verlagern Kriminelle ihre Aktivitäten aus der realen Welt in die virtuelle Welt des Internet, wie beispielsweise den Warenkreditbetrug oder das Ausspähen von Passwörtern z.B. beim Online-Banking in Form des Phishing. Zum anderen entstehen im Internet neue Arten von Straftaten, z.B. durch virenverseuchte E-Mails. Die Internetkommissariate werden nach einer Anzeige, also anlassabhängig tätig, während die "Task-Force-Internet" des hessischen LKA anlassunabhängig im Internet "auf Streife geht". Sie ermittelt dort im Bereich Kinderpornographie, Extremismus und Terrorismus.
Alles im Blick, so lautet der ansprechende Titel eines Artikels der Autoren Udo Adlmanninger und Thoms Störtkuhl in der Zeitschrift <kes>, Heft 5/2007. Er beschäftigt sich mit dem ganzheitlichen Sicherheitsmanagement mit Kennzahlen für den IT-Betrieb und die IT-Sicherheit, wie aus dem Untertitel hervorgeht. Der Artikel verbindet hierzu die Ansätze der Balanced Scorecard (BSC) von Kaplan und Norton und von COBIT(R) und den dortigen Kennzahlen mit dem ISMS gemäß ISO 27001 und dem Risikomanagement.
Anmerkung: Leser von "IT-Sicherheit mit System" kennen bereits seit 2003 den Sicherheitsregelkreis orientiert an der Balanced Scorecard von Kaplan und Norton sowie Kennzahlen für Sicherheit und Kontinuität. Die dortige dreidimensionale Sicherheitspyramide, basierend auf langjähriger Praxiserfahrung, repräsentiert ein ganzheitliches Sicherheitsmanagementsystem und berücksichtigt darüber hinaus die durchgängige Sicherheitshierarchie, IT-Prozesse und IT-Ressourcen sowie den Lebenszyklus.
Die 2. Auflage aus dem Jahr 2005 beschreibt zusätzlich den Sicherheitsmanagementprozess mit dem PDCA-Zyklus sowie das Compliance-, Risiko-, Architektur- und Innovationsmanagement.
Die erstmals Mitte der 90er Jahre veröffentlichte dreidimensionale Sicherheitspyramide vereinigt Themen in sich, die in unterschiedlichen Ansätzen und teilweise erst in neuerer Zeit in Standards, Practices und Werken zur IT-Sicherheit angesprochen werden.
Die neue stark gewachsene 3. Auflage von "IT-Sicherheit mit System" vergleicht gegenüber der 2. Auflage zusätzlich die Ansätze aktueller Standards und Practices mit der Sicherheitspyramide. Sie geht darüber hinaus u.a. ein auf biometrische Systeme, SOA, Web Services und Reifegradmodelle sowie Kontrollelemente und Kennzahlen.
Zu den Lesern meiner Bücher gehören u.a. Sicherheitsverantwortliche, Berater und Professoren. Darüber hinaus bildet es - wie ich gehört habe - die Grundlage für Lehrveranstaltungen. Das vielfache sehr positive Feedback hat den Verlag zur 3. Auflage motiviert und mich angeregt, diese zu schreiben. Dafür, dass die 2. Auflage zwischenzeitlich vergriffen war, bitte ich um Ihr Verständnis. Wenn Sie zu den ersten Lesern der 3. Auflage gehören wollen, können Sie sich das Buch im Buchhandel frühzeitig bestellen.
Die 3. Auflage von "IT-Sicherheit mit System" ist seitens VIEWEG für Ende Oktober 2007 angekündigt. Wenn alles klappt, ist sie gegen Ende der Systems verfügbar. Gegenüber der 2. Auflage ist sie nochmals deutlich gewachsen. Das Buch behandelt Standards, Normen und Practices jetzt umfangreicher als zuvor und vergleicht deren unterschiedliche Ansätze mit dem durchgängigen Vorgehensmodell anhand der dreidimensionalen Sicherheitspyramide des Autors. SOA, Grid Computing und biometrische Systeme gehören zu den aktuellen und detaillierter behandelten Themen. Sicherheitsrelevante Ergänzungen hat auch der System- bzw. Software-Lebenszyklus erhalten. Nicht zuletzt sind auch das Glossar und die Übersicht über Standards und Normen um neue Einträge gewachsen. Wenn Sie zu den ersten Lesern gehören wollen, können Sie das Buch im Buchhandel vorbestellen. Ich wünsche Ihnen eine interessante und anregende Lektüre.
Datenschutzverbesserungen nach dreimaliger Datenpanne plant der Pharma-Konzern Pfizer, wie CIO online am 18. September 2007 berichtet. Die erste Panne ereignete sich demzufolge Ende März, als durch Installation der Zugangs-Software für ein Peer-to-Peer-Netzwerk auf dem Firmen-Laptop eines Pfizer-Mitabeiters die anderen Nutzer die vertraulichen Daten von 17.000 Kollegen einsehen konnten, u.a. Sozialversicherungsnummern und Adressen. Ende Mai raubten Diebe zwei Laptops eines Zulieferers, auf denen sich kritische Daten von fast Tausend Healthcare-Spezialisten befanden. Im Juli erfährt Pfizer, dass ein ehemaliger Mitarbeiter Kopien von Datensätzen aus dem Computersystem entfernt hat. Als Reaktion plant Pfizer wirksamere Verschlüsselungsverfahren, Lokalisierungs-Software und eine Überarbeitung des Datenschutz-Programms.
Anmerkung: Wer das Handbuch Unternehmenssicherheit gelesen und die dort behandelten Themen wie Pfadanalyse, Positionsbestimmung, Verschlüsselung und Datenschutz angemessen umgesetzt hat, dürfte hier eine Vorsprung haben.
Eine Phishing-Bande festgenommen hat das Bundeskriminalamt, wie die FAZ am 17. September 2007 berichtet. Demzufolge hatten die 10 Personen mittels Trojanern Passwörter und Transaktionsnummern ausgespäht und Online-Konten geplündert. Der Schaden beläuft sich nach Schätzungen der Polizei auf mehrere hunderttausend Euro. Die Trojaner wurden u.a. mittels E-Mails, getarnt als wichtige Mitteilung namhafter Unternehmen, eingeschleust. Laut BKA sind die Täter der internationalen organisierten Kriminalität zuzurechnen. Ronald Noble, Generalsekretär von Interpol, fordert die nationalen Strafverfolgungsbehörden auf, National Central Reference Points einzurichten und zu vernetzen, damit die Polizei schneller Hilfen bei Cyber-Kriminalität erhält.
Datendiebstahl beim Internet-Karriereportal Monster meldet Symantec am 17. August 2007 auf ihrer Webseite, worüber auch die FAZ am 24. August 2007 berichtet. Demzufolge und laut Pressenotiz vom 24. August 2007 von Monster im Presseportal haben Kriminelle mittels des Trojaners Infostealer.Monstres Login-Daten von Arbeitgebern ausgespäht und anschließend Lebensläufe von Nutzern des Karriereportals abgezogen. Symantec nennt 1,6 Millionen Dateneinträge von einigen hunderttausend Kandidaten, die sich auf diesem fremden Server befanden. Der Pressenotiz von Monster zufolge sind 1,3 Millionen Arbeitssuchende innerhalb Nordamerikas betroffen. Die Daten enthielten z. B. Name, Vorname, Anschrift, Telefonnummer und E-Mail-Adresse der Kandidaten. Der Trojaner nutzt laut Symantec die gleiche Hauptdatei wie ein anderer Trojaner. Letzterer kommt zum Zug, wenn Opfer von Phishing-E-Mails mit realistischen Daten der Adressaten ein Tool herunterladen, das den Trojaner enthält. Dieser dringt in die Computer seiner Opfer ein und verschlüsselt dortige Dateien. Er hinterlässt eine Textdatei, in der er das Opfer zur Zahlung auffordert, wenn die Dateien wieder entschlüsselt werden sollen. Symantec empfiehlt, auf Seiten im Internet keine hoch sensiblen Daten, wie Sozialversicherungs- oder Passnummer oder Kontoinformationen zu hinterlassen und auch eine separate E-Mail-Adresse zu verwenden.
Die Trefferquote der automatischen Gesichtserkennung ist unzureichend für die Foto-Fahnung. So lässt sich das Ergebnis eines viermonatigen Feldversuchs am Mainzer Hauptbahnhof zusammenfassen, über das das Darmstädter Echo am 12. Juli 2007 mit Bezug auf den Abschlussbericht des Projektes informiert. Bei durchschnittlich 23.000 Besuchern pro Tag lag die Trefferquote selbst bei besten Lichtverhältnissen nur oberhalb von 60%. Bei 10% bis 20% lag sie abends und in der Nacht. Nach Ansicht des BKA-Präsidenten Jörg Ziercke ist für den praktischen Einsatz jedoch eine Erkennungsrate von annähernd 100% erforderlich. Anders sieht die Situation in eng begrenzten Zutritts- und Kontrollbereichen aus. Die dortigen Verhältnisse sind für eine erfolgreiche Gesichtserkennung nicht zuletzt aufgrund der Ausleuchtung besser geeignet. Außerdem stehen Personen dort einzeln vor der Kamera und gehen nicht in der Menschenmenge unter.
Ein Brand im Rechenzentrum des Bundestages führte am Donnerstag, den 5. Juli 2007, zur Abschaltung des zentralen Rechners, berichtet handelsblatt.com am 6. Juli 2007. Ursache war demzufolge ein durchgeschmortes Kabel, das die Sprinkleranlage auslöste. Durch den Ausfall der IT hatten die Abgeordneten ab Mittag weder Zugriff auf das Internet noch konnten sie E-Mails lesen. Der Schaden war am Abend noch nicht behoben. An diesem Tag ließ der Bundestagspräsident Norbert Lammert die Informationen über Nebeneinkünfte der Abgeordneten im Internet veröffentlichen, nachdem das Bundesverfassungsgericht am Tag vorher die Klage gegen das Transparenzgesetz abgelehnt hatte, das unter Rot-Grün verabschiedet worden war. Der Zugriff auf diese Informationen über das Internet war möglich, da sie über einen externen Server veröffentlicht worden waren.
Früherer BaFin-Beamter wegen Millionen-Betrugs verurteilt berichtet das Darmstädter Echo am 5. Juli 2007 unter Bezug auf das Urteil des Landgerichts Bonn vom Mittwoch, den 4. Juli 2007. Das Gericht verurteilte demzufolge den ehemaligen Leitenden Regierungsdirektor, der mehr als 6 Millionen Euro abgezweigt hatte, wegen Bestechlichkeit und Untreue in 89 Fällen. Der Angeklagte, der die Schule mit einem Hauptschulabschluss beendet hatte, hatte seine Stelle bei der BaFin mit einem gefälschten Abiturzeugnis und Studienabschluss sowie einer gekauften Promotionsurkunde erschlichen.
Anmerkung: Das Handbuch Unternehmenssicherheit stellt u.a. auch den Prozess Personalmanagement dar, der Teil eines durchgängigen Sicherheits-, Kontinuitäts- und Risikomanagements ist. Er hilft, derartige Erlebnisse präventiv zu vermeiden.
Fixing Internet Security by Hacking the Business Climate lautete der Vortrag, den Bruce Schneier, international renommierter Sicherheitsexperte und Fachbuchautor, am 26. Juni 2007 auf der secure 2007 in Bad Homburg hielt. Er führte aus, dass Technologie alleine Sicherheitsprobleme nicht lösen kann. Es geht darum, Risiken und Sicherheit zu managen. Für Manager spielen Wirtschaftlichkeit, gesetzliche Anforderungen und eigene Haftung eine wesentliche Rolle. Der Sarbanes-Oxley Act beispielsweise erzeugt bei Managern den Druck, diesbezügliche externe Audits bestehen zu müssen.
Anmerkung: Das Handbuch Unternehmenssicherheit bietet mit der Sicherheitspyramide eine durchgängige Vorgehensweise für das Sicherheits-, Kontinuitäts- und Risikomanagement unter Berücksichtigung der Compliance.
WLANs mit WEP lassen sich sekundenschnell knacken wie das Darmstädter Echo am 15. Juni 2007 berichtet. Die Verschlüsselung mittels WEP weist seit langem bekanntermaßen Sicherheitslücken auf. Nachwuchs-Wissenschaftlern der TU Darmstadt gelang es mittels einer mathematisch-analytischen Idee, den geheimen Schlüssel in über 50% der Fälle zu berechnen. Rund 30 Sekunden benötigt ein professioneller Angreifer für das Knacken des geheimen Schlüssels.
Anmerkung: Das Handbuch Unternehmenssicherheit weist u.a. auf die Unsicherheit von WEP hin und enthält Hinweise zur Absicherung von WLANs.
Sicherheitsbewusstsein im Internet ist gefragt, wie der Artikel "Erst klicken, dann gucken" in der Süddeutschen Zeitung vom 22. Mai 2007 zeigt. Ein belgischer IT-Sicherheitsexperte mietete sich demzufolge die Internet-Adresse "drive-by-download.info". Auf anderen Webseiten schaltete er Textanzeigen "Ist ihr PC frei von VIren? Dann infizieren Sie ihn hier!" Obwohl diese Website offensichtlich verdächtig war, wurde sie 400-mal angeklickt. SIcherheitsexperten ist die Endung ".info" suspekt, weil von derartigen Webseiten verschiedentlich Angriffe ausgehen. Der Begriff "Drive-by-Download" bezeichnet das ungewollte Herunterladen von Schadsoftware, z.B. Viren oder Spyware, ohne Wissen des Nutzers. Dies kann beim Besuch entsprechend präparierter Webseiten erfolgen.
Anmerkung: Die kontinuierliche zielgerichtete Sensibilisierung der Nutzer ist eine wichtige Aufgabe im IT-Sicherheitsmanagement.
Cyber-Attacken legen estnische Server lahm berichtet Spiegel online am 17. Mai 2007. Denial-of-Service-Angriffe richten sich demzufolge seit drei Wochen gegen Websites der Regierung und von Parteien, aber auch von Firmen, Banken und Betreibern von Mobilfunknetzen. Gestern war das Online-Banking einer estnischen Bank mehrere Stunden lang blockiert. Das Europaparlament und Brüssler Sicherheitskreise beschäftigen sich mit dem Thema. Die Nato hat Spezialisten für Netzsicherheit nach Estland geschickt. Vor drei Wochen, Ende April, wollten Esten in der Hauptsdtadt Tallin ein russisches Kriegerdenkmal abbauen. Hierbei kam es zu heftigen Auseinandersetzungen zwischen Estland und Russland.
Anmerkung: Wer das Buch "IT-Sicherheit mit System" oder das "Handbuch Unternehmenssicherheit" kennt, weiß dass Notfallvorsorge im Rahmen des Kontinuitätsmanagements ein wesentlicher Aspekt der Sicherheit sind.
Computerbetrug und Wirtschaftskriminalität nehmen zu, wie die polizeiliche Kriminalstatistik 2006 der Bundesrepublik Deutschland ausweist. Computerbetrug – §236a StGB – verzeichnet mit 16.211 erfassten Fällen eine Zunahme von 2,1 % gegenüber 2005. Deutliche und in Teilbereichen sogar drastische Zunahmen gegenüber 2005 sind in der Wirtschaftskriminalität zu verzeichnen. In 2006 lagen insgesamt 95.887 erfasste Fälle vor. Dies entspricht einer Zunahme von 7,5 %. Drastische Zuwächse sind mit 81,9 % bei der Wirtschaftskriminalität im Anlage- und Finanzierungsbereich festzustellen. Dies ist umso erstaunlicher, als die Aufklärungsquote bei Wirtschaftskriminalität insgesamt 96,4 % beträgt. Ergänzend ist von einem großen Dunkelfeld auszugehen führt das BKA weiter aus.
Die Hessische Polizei setzt flächendeckend digitale Fingerabdruckscanner ein, wie das Hessische Ministerium des Innern und für Sport (HMdI) in seiner Pressemitteilung vom 1. März 2007 bekannt gibt. Auf den Dienststellen werden 230 Fingerabdruckscanner eingesetzt. Im Herbst sollen 55 mobile Geräte folgen. Mit "Fast ID" lassen sich Fingerabdrücke von Personen online mit den 32 Millionen Datenbeständen von Straftätern beim Bundeskriminalamt abgleichen.
Bruce Schneier ist als Keynote Speaker auf der SECURE 2007, wie aus der diesbezüglichen Kongressankündigung hervorgeht. Die Secure 2007 findet Ende Juni 2007 in Bad Homburg bei Frankfurt statt und steht unter dem Motto "Trends in der IT-Sicherheit". Das Programm kündigt Bruce Schneier, den renommierten US amerikanischen Experten für Kryptographie und Computersicherheit sowie Fachbuchautor, mit dem Vortrag "Fixing Internet Security in future by Hacking the Business Climate" an. Am 28. Juni 2007 findet dort ein Workshop "Führungstraining für den IT-Sicherheitsexperten" statt, den Herr Dr.-Ing. Müller gestaltet und moderiert.
Auf der CeBIT 2007 hält Herr Dr.-Ing. Müller einen Kurz-Vortrag unter dem Titel SOA Security und BCM. Angekündigt ist der Vortrag für Montag, den 19. März 2007.
Pro Minute erfolgen 1,5 Angriffe auf Computer mit Internet-Zugang, wie aus einer Studie der A. James Clark School of Engineering der Universität von Maryland hervorgeht. Hierzu verbanden ein Professor und zwei wissenschaftliche Mitarbeiter 4 Linux-Rechner mit schwachen Sicherheitseinstellungen mit dem Internet und zeichneten die Angriffe auf. Durchschnittlich alle 39 Sekunden erfolgte ein Angriff, 2.244 pro Tag. Der Studie zufolge nutzten die meisten Angriffe automatisierte Skripte, die nach Schwächen in den angegriffenen Systemen suchten.
Die überwiegende Mehrzahl der Angriffe erfolgten durch wenig erfahrene Hacker, die "Wörterbuch-Skripte" nutzen. Diese probieren übliche Benutzernamen und Passwörter aus, um in ein System einzudringen. Am häufigsten wurde der Benutzername "root" versucht, gefolgt von "admin". Weitere waren "test", "guest", "info", "adm", "mysql", "user", "administrator" und "oracle". Beim Erraten des Passwortes versuchten es die Hacker am häufigsten mit dem Benutzernamen, der in 43% der Fälle und damit am häufigsten versucht wurde, oder einer Modifkation desselben. Benutzername ergänzt um "123" war der zweithäufigste Versuch. Weitere Versuche nutzten die Zahlenfolge "123456" in unterschiedlicher Länge, das Wort "password" oder "passwd".
Hacker, die Zugang erlangten, untersuchten die Software-Konfiguration, änderten Passwörter, analysierten die Hardware, luden Programme auf den kompromittierten Rechner und führten sie aus. Oftmals installierten sie Backdoor-Programme, um die Computer fernsteuern und als "botnets" nutzen zu können.
Die deutsche Domain der Internetsuchmaschine google wurde kurzzeitig gekapert, berichtet das ZDF unter heute.de am 23.1.2007. Demzufolge hatte der Kunde eines Providers die Domain google.de bestellt und angegeben, deren Inhaber zu sein. Über die deutsche Domain-Registrierungsstelle DENIC sei der Domainwechsel in der Nacht von Montag auf Dienstag vollzogen worden. Als der Provider die Kaperung bemerkte und die Domain zurückgeben wollte, gelangte sie erst zu einem anderen Provider, bei dem ebenfalls ein Antrag darauf vorlag. Dem Bericht zufolge vermutet DENIC, dass beide Prüfverfahren, die derartiges verhindern sollen, versagten. Der neue Provider müsse prüfen, dass der Auftraggeber zum Domainwechsel berechtigt sei, der bisherige müsse den Wechsel prüfen und gegebenenfalls ablehnen. Etwas Vergleichbares hatte das Auktionshaus ebay im August 2004 erlebt.
Das Sturmtief „Kyrill“ tobte durch Deutschland. In der Nacht vom Donnerstag, den 18. Januar 2007 auf Freitag, den 19. Januar 2007 fegte der Orkan durch ganz Deutschland und erreichte Spitzengeschwindigkeiten von über 200 km/h berichtet das ZDF unter heute.de. Bäume wurden umgeblasen und Strommasten knickten ein. Bundesweit kam es zu Stromausfällen, u. a. in Brandenburg, Sachsen-Anhalt und Sachsen, aber auch im Odenwald sowie in Wuppertal, wo die Schwebebahn zeitweise außer Betrieb genommen werden musste, wie die Westdeutsche Zeitung online am 19.1.2007 berichtet. Laut heute journal waren über 1 Mio. Menschen ohne Strom. Der Berliner Hauptbahnhof war 14 Stunden lang gesperrt, weil sich ein zwei Tonnen schwerer Stahlträger gelöst hatte und heruntergestürzt war. Hunderte von Flugverbindungen wurden gestrichen, der Bahnverkehr wurde aus Sicherheitsgründen bundesweit eingestellt, 34.000km Schienennetz lagen brach. Viele Menschen mussten auf Bahnhöfen, nahen Hotels oder in bereit gestellten Zügen übernachten. Am Freitag nahm die Bahn den Schienenverkehr sukzessive, aber noch nicht flächendeckend wieder auf. Verschiedene Bahnstrecken sind noch gesperrt. Aufgrund dessen nahm der Autoverkehr verschiedentlich zu. Xdial.de berichtet, dass die Mobilfunknetze nach ersten Informationen weitgehend unbeschädigt blieben. Demzufolge sah sich nur in Magdeburg ein Netzbetreiber aufgrund längerer Stromausfälle mit Problemen konfrontiert.
Unter Sicherheitsaspekten ist nicht nur gegen die Auswirkungen von Orkanen Vorsorge zu treffen, sondern auch nach derartigen Ereignissen zu berücksichtigen, dass übernächtigte Menschen leichter Fehler machen.
Biometrie - Verfahren, Trends, Chancen und Risiken, so lautet der Titel eines umfangreichen Artikels, den Herr Dr.-Ing. Klaus-Rainer Müller geschrieben hat. Er ist in Heft 2/2007 der Zeitschrift hakin9 - Abwehrmethoden veröffentlicht, das am 18. Januar 2007 erschienen ist. In der gleichen Ausgabe der Zeitschrift ist auch ein Interview mit Herrn Dr.-Ing. Müller zum Thema Sicherheit abgedruckt. Ich wünsche Ihnen viel Spaß beim Lesen.
Über eine gravierende Datenschutzpanne bei der Darmstädter Polizei berichtet das Darmstädter Echo am 16. Januar 2007. Demnach stieß ein Kölner Rechtsanwalt über Google auf Einsatzprotokolle des Polizeipräsidiums Südhessen. Aufgrund eines "einmaligen, bedauerlichen" Versehens gelangten 41 Berichte aus dem Zeitraum vom 6. bis zum 12. Februar 2006 dorthin. Dem Zeitungsbericht zufolge listeten diese neben Namen, Geburtsdatum und Adresse auch Automarke, Kennzeichen und Gesetzesverstoß sowie eventuelle Vorstrafen auf. Laut Darmstädter Echo vom 17. Januar 2007 konnte die Polizei zwar die Originaldateien im pdf-Format löschen, die im Cache der Suchmaschine google im HTML-Format gespeicherten Daten waren jedoch nach wie vor abrufbar. Diese bei google gespeicherte Momentaufnahme des Internet wird üblicherweise erst alle paar Wochen aktualisiert. Das Polizeipräsidium Südhessen wandte sich mit der Bitte an google, den Datensatz endgültig zu löschen. Das Versehen der Polizei hätte durch eine Abfrage, ob die Dateien wirklich ins Internet gestellt werden sollen, möglicherweise verhindert werden können. Eine solche Abfrage existiert dem Zeitungsbericht zufolge jedoch nicht.
Anmerkung: Dieses Versehen hätte sich durch Anwendung des Poka-Yoke-Prinzips, das im Handbuch Unternehmenssicherheit angegeben ist, voraussichtlich vermeiden oder seine Eintrittswahrscheinlichkeit reduzieren lassen.
Eine Verschärfung der Strafvorschriften gegen Korruption will laut FAZ vom 16. Januar 2007 das Bundesjustizministerium in Angriff nehmen. Ein diesbezüglicher Referentenentwurf liegt vor. Ziel ist die Sicherung "des Vertrauens in die staatlichen ... Institutionen" und der Schutz des "fairen internationalen Wettbewerbs". Im Strafgesetzbuch soll der Paragraph 299, "Bestechlichkeit und Bestechung im geschäftlichen Verkehr" ausgeweitet werden.
Genormte Sicherheit - Von normativen Anforderungen zur Lösung, so könnte der Untertitel des Beitrags lauten, den die renommierte Zeitschrift ix, Magazin für professionelle Informationstechnik, in ihrem Heft 1/2007 veröffentlicht, das am 14.12.2006 erscheint. In diesem Artikel geht Herr Dr.-Ing. Klaus-Rainer Müller auf Standards und "Practices" im Sicherheitsmanagement ein und beschreibt die integrierende Lösung.
Ganzheitliche und wirtschaftliche IT-Sicherheit, so lautet die Überschrift eines Beitrags von Dr.-Ing. Klaus-Rainer Müller, den die Computerwoche am 6.12.2006 im Wissens-Blog des Security-Expertenrats veröffentlichte. Moderiert von Frau Katharina Friedmann hat die Computerwoche den Security-Expertenrat ins Leben gerufen, an den Leser Fragen stellen oder Beiträge richten können.
Die Open-Source-Sicherheitssoftware BOSS, Version 2.0, des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist freigegeben, wie in der Pressemitteilung des BSI vom
1. Dezember 2006 zu lesen ist. BOSS, die BSI OSS Security Suite, ist eine Prüfsoftware für Netzwerksicherheit, die der zentralen Sicherheitsprüfung von Computernetzen dient. Sie basiert auf dem Security-Scanner Nessus. Der Mitteilung zufolge ermöglicht die Version 2.0 von BOSS schnellere Sicherheitsprüfungen sowie "die zentrale Verteilung und Konfiguration der Sicherheitssoftware auf den Linux-Clients im Netzwerk". Sie verfügt darüber hinaus über eine einfachere Benutzeroberfläche.
Die eBanking-TAN als mobileTAN per SMS zum Kunden bietet die FIUDUCIA IT AG den Volksbanken und Raiffeisenbanken in ihrem Geschäftsgebiet, wie in der Pressemitteilung vom 13. November 2006 auf der FIDUCIA-Website zu lesen ist. Der Bankrechner erzeugt die mobileTAN für die jeweils aktuelle Transaktion und übermittelt sie per SMS zusammen mit der Empfängerkontonummer und dem Betrag an eine zuvor festgelegte Handynummer. Auf diese Weise kann der Bankkunde die Daten vor ihrer Freigabe überprüfen. Die auf das Handy übermittelte und angezeigte mobileTAN in Verbindung mit Kontonummer und Betrag soll als Sicherheitsmaßnahme zum Schutz gegen bisher bekannte Phishing- und Pharming-Angriffe dienen. Prof. Dr. Jörg Schwenk, Vorstand der Arbeitsgruppe Identitätsschutz im Internet e.V., bestätigt dies. Die mobileTAN ermöglicht es dem Kunden, von unterwegs Bankgeschäfte zu tätigen, ohne seine TAN-Liste mitführen zu müssen.
Anmerkung: Voraussetzung ist hierbei - wie auch beim Phishing - die Sensibilisierung des Nutzers, damit er die übermittelten Daten einschließlich des Absenders genau prüft und sich
z. B. Kontonummer und PIN nicht auf dem Handy oder Smartphone speichert. Auch bei der Weitergabe der Handy-Nummer kann Vorsicht angeraten sein, nicht zuletzt, wenn diese per Phishing abgefragt wird. Gleichzeitig nimmt durch die mobileTAN der Schutzbedarf des Handys und gegebenenfalls des mobilen Nutzers zu. Auch hier empfiehlt sich eine Pfadanalyse, wie sie in meinen Büchern angesprochen ist, um das Sicherheitsniveau aller beteiligten Elemente und mögliche Angriffsszenarien zu ermitteln. (10.12.2006)
Der 10. Deutscher IT-Sicherheitskongress des BSI findet vom 22.-24. Mai 2007 statt, wie auf den Webseiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu lesen ist. Er steht unter dem Motto "Innovationsmotor IT-Sicherheit".
Anmerkung: Wer das Buch "IT-Sicherheit mit System" oder das "Handbuch Unternehmenssicherheit" kennt, weiß dass der dortige Prozess Innovationsmanagement dem Thema Innovation und den damit verbundenen Wirtschaftlichkeitsaspekten sowie den Chancen und Risiken Rechnung trägt.
Fingerabdrücke sollen im elektronischen Reisepass erst ab November 2007 aufgenommen werden, berichtet die Zeitschrift Stern. Grund sei laut Bundesinnenministerium die erst im Juni 2006 von der EU-Kommission herausgegebene technische Spezifikation.
Ein Internet-Security-Frühwarnsystem für Deutschland zum Monitoring dieser kritischen Infrastruktur stellte Herr Prof. Dr. Norbert Pohlmann von der FH Gelsenkirchen auf dem IIR IT-Security Forum 2006 Ende November in Bad Homburg vor. Durch das Internet-Analyse-System (IAS) sollen Angriffssituationen erkannt und Angriffsprognosen erstellt werden. Die Erhebung der Rohdaten erfolgt über passive Sonden an ausgesuchten Positionen des Internet. Gesucht werden noch motivierte Unternehmen, die das IAS - gegebenenfalls nach einer Überprüfungsphase - einsetzen, Sonden und Auswertungssysteme betreiben und die Rohdaten dem Institut für Internet-Sicherheit an der FH Gelsenkirchen zur Verfügung stellen. Weitere Informationen finden Sie über die Webseite der FH Gelsenkirchen.
Microsoft® hat eine Sicherheitssprache für Grids entworfen, die den Namen „Security Policy Assertion Language (SecPAL)“ trägt. Der diesbezügliche technische Bericht von Microsoft Research vom September 2006 führt aus, dass SecPAL im Gegensatz zu den bestehenden Sicherheitssprachen wie XRML (Extensible Rights Markup Language) und XACML (Extensible Access Control Markup Language), die ausschließlich auf dem XML-Schema basieren, verständlicher und lesbarer sein soll. Blair Dillaway von Microsoft® Corporation erläutert in seiner Präsentation „A Unified Approach to Trust, Delegation and Authorization“, dass der implementierte SecPAL–Prototyp mit dem Windows® Compute Cluster Server 2003, Windows® Communication Foundation, dem .Net-Framework, dem Active Directory®, Kerberos und dem X.509-Identitätsmanagement genauso zusammenspielt wie mit XML und Web-Service-Protokollstandards.
Das IT-Security Forum 2006 des IIR findet Ende November in Bad Homburg statt. Herr Dr.-Ing. Müller hält hier am 29. November 2006 einen Vortrag zum Thema "Biometrie - Trends, Chancen und Risiken".
Das HELPDESK Forum 2006 des IIR findet Ende November 2006 in der Rheingoldhalle in Mainz statt. Herr Dr.-Ing. Müller hält hier am 29. November 2006 auf dem Fachforum G einen Vortrag zum Thema "Unterstützung der Sicherheit als geschäftskritische Aufgabe durch den Service Desk".
Gebrauchte mobile Endgeräte mit vertraulichen Daten werden vor dem Verkauf oftmals nicht gelöscht, wie Trust Digital am 30. August 2006 berichtet. Zu Testzwecken wurden 10 gebrauchte mobile Endgeräte, Smartphones und PDAs, gekauft. Insgesamt konnten weit über 25.000 Seiten mit persönlichen, unternehmensspezifischen und Gerätedaten gelesen werden. Bankdaten, Steuerinformationen, persönliche und geschäftliche Korrespondenz, Computer-Passwörter, Vertriebsinformationen und Kontaktadressen bis hin zu medizinischen Daten des Nutzers waren die Ausbeute.
Ein rund zweistündiger DNS-Server-Ausfall in Spanien verhinderte Ende August 2006 den Zugriff auf 400.000 Websites mit der Endung ".es" über den DNS-Server des spanischen Domainverwalters ESNIC, wie handelsblatt.com am 30. August 2006 unter Berufung auf Pressemitteilungen und dpa berichtet. Demzufolge stürzte beim spanischen Betreiber ESNIC während der regelmäßigen 8-stündlichen Aktualisierung der Internetadressen der Server ab. Der Ausfall begann um 15:15 Uhr.
Der 1. deutschsprachige BCI-Kongress findet am 26. und 27. September 2006 in Hamburg statt, wie das deutsche BCI-Forum im Kongress-Flyer auf seiner Homepage berichtet. Herr Dr.-Ing. Müller hält dort am 27. September 2006 den Vortrag "Der Brückenschlag: Von Geschäftsprozessen zu (IT) - Ressourcen". Das Anmeldeformular für den Kongress ist über die Homepage des BCI Forums erhältlich.
Das Business Continuity Institute (BCI) hat über 3.000 Mitglieder in 60 Ländern und ist in England ansässig. Seit 1994 widmet es sich dem Thema Business Continuity Management (BCM).
Eine neue ITIL®-Struktur und neue ITIL®-Bücher befinden sich in Entwicklung, wie das OGC bekannt gegeben hat. Demzufolge orientiert sich die neue ITIL®-Struktur am Lebenszyklus und wird aus fünf Büchern zu den Themen Service Strategies, Service Design, Service Transition, Service Operation und Continual Service Improvement bestehen. Die Struktur dieser Bücher soll einheitlich sein. Die Planung sieht vor, dass das ITIL®-Refresh-Projekt Ende 2006 beendet ist und diese neu entwickelten Bücher im Februar 2007 erscheinen.
(Anmerkung: Das Thema Lebenszyklus, das sowohl in "IT-Sicherheit mit System", als auch im "Handbuch Unternehmenssicherheit" seit längerem behandelt ist, gewinnt anscheinend zunehmend die erforderliche Aufmerksamkeit.)
Security Threats nehmen rasant zu, wie McAfee® berichtet. Demzufolge verzeichnete McAfee® Anfang Juli 2006 die 200.000ste Bedrohung. Während es 18 Jahre dauerte, bis im September 2004 die 100.000ste Bedrohung erfasst wurde, vergingen weniger als 2 Jahre zur Verdopplung dieser Zahl. Seit 2004 verdoppeln sich die Bedrohungen in etwa jährlich. So erfasste McAfee® 27.340 neue Bedrohungen im Jahr 2004, 56.880 im Jahr 2005 und erwartet bis Ende 2006 ca. 60.000.
Die Computerkriminalität ist in Deutschland im Jahr 2005 rückläufig, wie die polizeiliche Kriminalstatistik 2005 ausweist, die Mitte 2006 vorgelegt wurde. Insgesamt wurden 62.186 Fälle von Computerkriminalität erfasst gegenüber 66.973 Fällen im Jahr 2004 und 59.691 Fällen in 2003. Computerbetrug nach § 263a stieg jedoch auf 15.875 Fälle und nahm damit um 11,9 Prozent zu.
Stromausfall: Kleine Ursache - Große Wirkung, so ließe sich der Artikel in der FAZ vom 30. Juni 2006 betiteln. Demzufolge hat ein Stromausfall in Münster am 9. Juni 2006 und ein "nach den inzwischen vorliegenden Erkenntnissen defektes Schaltrelais" bei der GAD zu einem Totalausfall des GAD-Rechenzentrums geführt. Alle angeschlossenen 470 Volks- und Raiffeisenbanken waren davon betroffen. Der Aufsichtsrat der GAD hat den Entwicklungs- und Produktionsvorstand am 17. Juni 2006 seiner Aufgaben entbunden.
(Anmerkung: Das Prinzip der Pfadanalyse, s. Handbuch Unternehmenssicherheit, unterstützt dabei, derartige potenzielle Fehlerursachen zu entdecken.)
Integrierte Sicherheitskomplettlösungen für Privatanwender befinden sich auf dem Vormarsch. Sie orientieren sich am Wunsch vieler Privatanwender, einfach zu nutzende Lösungen einzusetzen, welche die Sicherheit ihrer Daten und Aktivitäten sicherstellen.
Microsoft® bietet seit Juni 2006 auf dem US-amerikanischen Markt Windows Live OneCare an. OneCare umfasst Anti-Virus-, Anti-Spyware- und Zweiwege-Firewall-Software, Backup- und Restore-Features sowie Tools zur Performance-Optimierung durch Aufräumen und Defragmentieren der Festplatte.
McAfee® hat unter dem Codenamen „Falcon“ für den Sommer 2006 eine Sicherheitsplattform angekündigt, die demzufolge Anti-Virus-, Anti-Spam-, Anti-Spyware-Features in sich vereinigt, Rootkits entdecken und vernichten soll, zentral und einfach steuerbar sein soll, und nach dem „set-and-forget“-Prinzip vom Benutzer keine weitere Interaktion fordert. Weiterhin soll die Sicherheitsplattform Maßnahmen zum Schutz vor Phishing und zero-hour-Attacken sowie Datenverlust bieten. Symantec® hat Norton 360 avisiert, das laut PC Magazine Online vom 2.2.2006 neben PC-Sicherheitselementen mit Anti-Virus-, Anti-Spam-, Anti-Spyware-, Intrusion-Prevention- und Firewall-Software auch Transaktionssicherheits-Tools, Online/Offline-Backup-/Restore-Features sowie PC Optimierungs- und Wartungselemente enthalten soll.
OneCare, Falcon und Norton 360 richten sich wesentlich an solche End- und Heimanwender, die sich mit dem Thema Sicherheit nicht auseinandersetzen möchten und auf vorgefertigte integrierte Software-Sicherheitslösungen bauen.
Das VoIP-Verschlüsselungstool Zfone ist laut Phil Zimmermanns nun auch als Beta für Windows XP verfügbar. Das Tool verschlüsselt demzufolge die VoIP-Kommunikation zwischen zwei Zfone-Clients. Es nutzt hierfür weder PKI noch Zertifikate. Das neue Verschlüsselungsprotokoll ZRTP liegt laut Zimmermann der IETF als Vorschlag für einen öffentlichen Standard vor.
Die Studie Biometrie und Smart Cards der ACG GmbH geht laut ACG Pressemitteilung auf den aktuellen Stand dieser beiden Verfahren ein und beschäftigt sich mit deren Möglichkeiten und Risiken. Hierbei fokussiert sich die Studie auf das biometrische Merkmal Fingerabdruck.
Unternehmen setzen zunehmend Single Sign-on ein, um den Benutzerkomfort zu erhöhen. Dies vergrößert aber auch das Risiko, denn ein erfolgreicher Angreifer kann dadurch nicht nur in eine Anwendung oder ein System gelangen, sondern in alle, für die der jeweilige Benutzer berechtigt ist. Der damit verbundene höhere Sicherheitsbedarf weckt das Interesse an einer Zwei-Faktor-Authentisierung. Als zweiter Faktor hierfür sind derzeit im Gespräch die biometrische Authentisierung per Fingerabdruck sowie die besitzbezogene Authentisierung per Smart Card oder Token, deren Vorteile und Risiken die Studie behandelt.
Der Trend zum Einsatz biometrischer Verfahren bei der Zutritts- und Zugangskontrolle wird verstärkt durch den ePass, auf dem 2007 auch Fingerabdrücke gespeichert werden sollen. Aber auch Smart Cards liegen im Trend, wie die Gesundheitskarte zeigt sowie im Bankenbereich deren Einsatz zur Zutrittskontrolle, Zeiterfassung und Bezahlung.
Verbraucher befürworten überwiegend biometrische Verfahren, wie die Verbraucherstudie belegt, die das Ponemon Institute im Auftrag von Unisys durchführte. Mehr als zwei Drittel der weltweit Befragten sprechen sich demzufolge für den Einsatz biometrischer Verfahren für die Personenidentifizierung aus, sofern diese unter der Obhut von vertrauenswürdigen Organisationen, wie Banken, Regierungen oder Gesundheitsorganisationen stehen. Zwei Drittel bevorzugen Biometrie-Lösungen, wie Fingerabdruck oder Sprache, gegenüber anderen Methoden, wie z.B. Smart Cards oder Sicherheitstoken. Die Bedienerfreundlichkeit ist für 82% der Befragten das wichtigste Argument für Biometrie. Mit 32% am beliebtesten ist dabei die Spracherkennung, gefolgt vom Fingerabdruck mit 27%.
2,6 Millionen Euro sollen bei der BaFin veruntreut worden sein, berichtet die FAZ am 20.4.2006 unter Berufung auf die Staatsanwaltschaft Bonn. Demzufolge soll ein ranghoher Beamte, der den Computeretat der BaFin überwachte und verwaltete, mit einem Komplizen, der eine Firma gegründet hatte, Scheingeschäfte in Millionenhöhe abgewickelt haben. Das gezahlte Geld soll der Beamte nach Abzug der vom Unternehmen bezahlten Steuern privat zurückerhalten haben (Kick-back-Zahlungen). Aufgedeckt wurde die vermutete Untreue vom Bundesrechnungshof. Daraufhin schaltete BaFin-Präsident Jochen Sanio nach hausinternen Untersuchungen die Staatsanwaltschaft ein. Oberstaatsanwalt Friedrich Apostel sagte der FAZ zufolge auf der Pressekonferenz: „Manche Leute halten sich für so schlau, dass sie glauben, nie gefasst zu werden.“ Sowohl der Unternehmer als auch der Beamte befinden sich demzufolge seit Ostern in Haft. Das Vermögen ist sichergestellt. Nach §266 Strafgesetzbuch kann Untreue in besonders schwerem Fall mit bis zu zehn Jahren Haft geahndet werden.
Anmerkung: Bleibt zu hoffen, dass vergleichbare Vergehen, wie z. B. Bestechlichkeit, Amtsmissbrauch und Missbrauch von Insider-Wissen, bei anderen Behörden wie z. B. Bauämtern, Regierungspräsidien und Ministerien sowie bei Gemeinden nicht vorkommen, beziehungsweise dort die notwendige Ordnungsmäßigkeit und bei den Verantwortlichen die erforderliche Sensibilität besteht, um dies rechtzeitig zu erkennen und zu unterbinden. Am besten sollten sich die Verantwortlichen meiner Meinung nach an den „business judgement rules“ der freien Wirtschaft orientieren und einschließlich sich selbst nur solche Personen an Entscheidungen beteiligen, welche die erforderliche Kompetenz besitzen, beim jeweiligen Vorgang frei von jeglichen persönlichen Interessen und Interessen Dritter sind sowie nachvollziehbar auf Basis angemessener Informationen neutral und ausschließlich im Interesse des Gemeinwohls handeln.
Läden in Darmstadt sind am Donnerstag vor Karfreitag über mehrere Stunden ohne Strom gewesen, wie das Darmstädter Echo am 15.4.2006 berichtet. Demzufolge ist ein armdickes Versorgungskabel, das zwei Straßen der Innenstadt versorgte, verschmort. Betroffen davon sind Läden, Arztpraxen und eine Apotheke. Manche Läden stellen den Geschäftsbetrieb ein, andere führen einen Notbetrieb weiter. In einem Fall hilft ein Notstromaggregat zumindest beim Kassenbetrieb weiter. Doch auch hier verfügen nicht alle für den Notbetrieb erforderlichen Verbraucher über eine Notstromversorgung. Manch ein Betroffener mag sich die Frage stellen, ob der entstandene Umsatz- und Gewinnverlust die Anschaffung eines Notstromagggregats gerechtfertigt hätte.
Wie das Darmstädter Echo am 21.4.2006 unter Bezug auf den generalbevollmächtigten Leiter des HSE-Geschäftsfelds Netze, Lothar Litters, berichtet, entfielen auf jeden HSE-Kunden im Jahr 2005 im statistischen Mittel 8 Minuten Stromausfall, während der bundesweite Schnitt bei 23 Minuten liegt.
Anmerkung: Können Sie oder Ihr Unternehmen sich einen solchen Ausfall zuzüglich der Zeiten für das Hochfahren von Maschinen und Computern sowie der Behebung eventueller Datenverluste oder –verfälschungen leisten, oder wäre die Anschaffung einer Unterbrechungsfreien Stromversorgung und eines Notstromaggregats z. B. unter Kosten-Nutzen- und Image-Aspekten sinnvoll?
Risiko- und Sicherheitsmanagement verbinden ist das Thema meines Artikels "Zwei Welten verbinden", der im Bankmagazin 4/06 erschienen ist. Wenn Sie diesen Artikel gelesen haben und vertieft in die Thematik einsteigen möchten, sollten Sie das "Handbuch Unternehmenssicherheit" lesen. Es ist der Trendsetter für das Zusammenwachsen von Sicherheits-, Kontinuitäts- und Risikomanagement, von Prozessen und Ressourcen sowie von IT und Non-IT.
Das VoIP-Verschlüsselungstool von Phil Zimmermann heißt Zfone und ist laut Zimmermann in der Beta-Version für Linux und Mac OS verfügbar. Die Windows XP Version hat er für Mitte April 2006 angekündigt. Das Tool verschlüsselt demzufolge die VoIP-Kommunikation zwischen zwei Zfone-Clients. Hierbei nutzt es weder PKI noch Zertifikate. Das neue Verschlüsselungsprotokoll liegt laut Zimmermann der IETF als Vorschlag für einen öffentlichen Standard vor.
Einen Blickschutz-Filter für Laptops namens Vikuiti™ hat 3M herausgebracht. Laut 3M schirmen die Mikrolamellen des Kunststoffs, der mit Haltelaschen am Laptop angebracht wird, vor neugierigen Blicken von der Seite, während der Benutzer bei normaler Blickrichtung wie gewohnt arbeiten kann.
Auf die Risiken einer Grippe-Pandemie für Unternehmen weist die Institut für Arbeits- und Sozialhygiene Stiftung (IAS) laut Darmstädter Echo vom 23.2.2006 hin. Bei einer Influenza-Pandemie würden demzufolge voraussichtlich die Hälfte der Beschäftigten nicht zur Arbeit kommen können.
Anmerkung: Auch hier sind erprobte Notfall- und Katastrophenvorsorgepläne nützlich bzw. erforderlich, um mit derartigen Situationen umgehen zu können. (s.a. "Handbuch Unternehmenssicherheit": Notfallvorsorge)
Die Insolvenz des größten deutschen Geldtransportunternehmens Heros kann die Bargeldversorgung beeinträchtigen meldet die FAZ am 21.2.2006. Die Deutsche Bank und die Commerzbank arbeiten der FAZ zufolge seit einiger Zeit nur noch mit der Heros-Gruppe zusammen. Die Deutsche Bundesbank hat ihre Filialen angewiesen, die Bargeldversorgung zu gewährleisten und die Öffnungszeiten bei Bedarf flexibel auszuweiten. Der Metro-Konzern hat jegliche Zusammenarbeit mit der Heros-Gruppe beendet. Für derartige Fälle existieren einem Unternehmenssprecher zufolge Notfallpläne.
Anmerkung: Im Rahmen der Notfallplanung sollte jedes Unternehmen, insbesondere aber Finanzinstitute, die über das BaFin dazu verpflichtet sind, über getestete Notfallpläne verfügen. (s.a. "Handbuch Unternehmenssicherheit": Notfallvorsorge)
Die USA startet am 6. Februar 2006 das weltweite Manöver „Cyber Storm“, wie die Nachrichtenseite Federal Computer Week berichtet. Die Übung soll die Reaktionsfähigkeit öffentlicher und privater Einrichtungen auf Attacken aus dem Internet testen. Die Angriffe richten sich speziell gegen kritische Infrastrukturen. Beteiligt sind außer den USA noch Australien, Kanada und Großbritannien sowie 20 Unternehmen und zwei US-Behörden. Das Department of Homeland Security leitet das Manöver.
Voice over IP (VoIP) spart Kosten und birgt Risiken in sich. Bei VoIP, dem Telefonieren über das Internet, wird Sprache digitalisiert, in Datenpakete aufgeteilt und über das Internet versendet. Durch die Nutzung des Internets statt des herkömmlichen Telefonnetzes können Unternehmen oftmals Kosten sparen. Der Kostenersparnis stehen jedoch Bedrohungen gegenüber, die teilweise auch bei der datenbasierten Internet-Nutzern auftreten. Hierzu gehören Denial-of-Service- und Man-in-the-middle-Angriffe, aber auch Phishing und Spam sowie Manipulationen. Unverschlüsselte Telefonate lassen sich abhören und zur Industriespionage nutzen. Weitere Aspekte sind z. B. die Sprachqualität, d.h. die Übertragungsqualität, und die Verfügbarkeit. Diese Bedrohungen gilt es zu beachten und durch angemessene Richtlinien, Konzepte und Maßnahmen abzusichern.
Gasversorger Entega stellte im Januar 2006 Firmen das Gas ab, wie das Darmstädter Echo am 13.1.2006 berichtet. Demzufolge hätten diese Firmen laut Entega acht bis zehn Prozent Preisnachlass dafür erhalten, dass Entega in Zeiten übergroßer Nachfrage bei ihnen die Gasversorgung je Heizperiode maximal 1000 Stunden unterbrechen kann. Bei einem Unternehmen hätte es dadurch ohne Ausweichmöglichkeiten durch Ölversorgung und deren Braunkohlestaubwerk Produktionsausfälle in Millionenhöhe gegeben. Andere, die einem Aufpreis für eine Gasmenge vom Spotmarkt zugestimmt hatten, wurden ebenfalls weiter versorgt. Entega begründet, diese Verträge für teure Lastspitzen der Gesamtheit ihrer Kunden schuldig zu sein. Verärgerung machte sich breit, weil für Firmen nicht erkennbar war, dass tatsächlich eine Nachfragespitze vorlag.
Anmerkung: Wichtig bei der Vertragsgestaltung ist – sofern es bei einem Monopolisten Gestaltungsspielraum gibt –, mess- und nachweisbare Kriterien zu definieren, wann eine übergroße Nachfrage herrscht. Außerdem sollten vor Vertragsabschluss die Verläufe und Lastspitzen mehrerer zurückliegender Jahre geprüft werden, um Kosten-Nutzen-Überlegungen anstellen und Vorsorgemaßnahmen treffen zu können. Unabhängig von derartigen Verträgen empfehlen sich auch Vorsorgemaßnahmen für den ungeplanten Ausfall der Versorgung oder eines Versorgers (s.a. "Handbuch Unternehmenssicherheit": Pfadanalyse; Notfallvorsorge)
Das IT-Grundschutzhandbuch 2005 (IT-GSHB 2005) ist Ende 2005 erschienen und ausgeliefert worden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dem IT-GSHB 2005 eine neue Struktur gegeben: Die verschiedenen Bausteine wurden an das Schichtenmodell des IT-GSHB angepasst, in eine einheitliche Form gebracht und aktualisiert. Darüber hinaus fand ein Glossar sowie das Thema „Lebenszyklus“, das Lesern von „IT-Sicherheit mit System“ oder vom „Handbuch Unternehmenssicherheit" schon seit längerem bekannt ist, Eingang in die Bausteine. Darüber hinaus hat das BSI eigene Standards entwickelt. Der BSI-Standard 100-1 beschäftigt sich mit Managementsystemen für Informationssicherheit und geht auch auf den IT-Sicherheitsprozess ein, der ähnlich wie im Buch „IT-Sicherheit mit System“ und im „Handbuch Unternehmenssicherheit" dem Deming bzw. PDCA-Zyklus folgt.
HSBC und Deutsche Bank haben einen Notfallplan für Vogelgrippe-Epidemie wie die FAZ am 11.01.2006 berichtet. Hierzu gehören Überlegungen, welche Mitarbeiter ihre Arbeit von einem Heimarbeitsplatz aus erledigen können, welche Ausweichstandorte es gäbe und inwieweit eine Auslagerung von Arbeiten an Dritte möglich sei. Die Londoner Bankenaufsicht weist demzufolge allerdings darauf hin, dass derartige Notfallpläne nur auf dem Papier stünden und dann unrealistisch seien, wenn Ausweichquartiere in der gleichen Innenstadt lägen und somit bei flächendeckenden Seuchen ebenfalls nicht nutzbar seien. In Deutschland fordern die MaRisk Geschäftsfortführungs- und Wiederanlaufpläne für Notfälle sowie zeitnahe Ersatzlösungen.
Computerpanne führt zu Rücktritt des Präsidenten der Tokioter Börse, wie die FAZ und das Darmstädter Echo am 21.12.2005 berichten. Nachdem der Handel der Börse Anfang November für einen halben Tag unterbrochen war, offenbarte das Handelssystem TSE Anfang Dezember gravierende funktionale Defizite. Ein Händler wollte einen fehlerhaft eingegebenen Verkaufsauftrag zurückziehen, bei dem er statt des Verkaufs von J-Com-Aktien zum Kurs von 610.000 Yen den Verkauf von 610.000 J-Com-Aktien für 1 Yen eingegeben und abgeschickt hatte, obwohl das Programm Alarm gab. Außer dem Präsidenten der Tokioter Börse nahmen auch der operative Chef der Computerabteilung und der Senior Managing Director ihre Hüte.
Die BaFin veröffentlichte die MaRisk, die Mindestanforderungen an das Risikomanagement, am Dienstag, den 20. Dezember 2005. MaRisk baut auf den bisherigen Regelungen MaK, MaH und MaIR auf. Die diesbezüglichen Elemente der MaRisk treten der BaFin zufolge sofort in Kraft. Darüber hinaus bezieht MaRisk Elemente von Basel II, die 2007 in Kraft treten, ein.
Banken verstärken ihren Schutz gegen Phishing. Zunehmend eingesetzt werden indizierte TANs und auf dem Bildschirm angezeigte PIN-Pads zur mausbasierten Eingabe von Kontonummer und PIN. Ebenfalls zum Einsatz kommen z. B. spezielle angabegemäß nicht computerlesbare Codes, Anzeige des letzten Login oder auch Chipkarten unter Nutzung des Challenge-Response-Verfahrens.
Innenminister wollen neues Computersystem gegen ec-Kartenbetrug empfehlen, wie DER SPIEGEL am 3.12.2005 berichtet. Bisher werden bei der Polizei als gestohlen gemeldete ec-Karten über das in Dresden erfundene System "Kuno" gemeldet. Zukünftig sollen Nummern von ec-Karten, die bei der Polizei als gestohlen gemeldet wurden, an eine Datenbank in Stuttgart geschickt werden. Von hier aus werden sie dem Einzelhandel in Deutschland zur Verfügung gestellt.
Fast jedes zweite Unternehmen ist Opfer von Wirtschaftskriminalität. So lautet das Ergebnis einer Studie der Wirtschaftsprüfungsgesellschaft Price-Waterhouse-Coopers (PWC) und der Martin-Luther-Universität in Halle-Wittenberg, wie die FAZ am 30.11.2005 berichtet. Hierzu wurden weltweit mehr als 3.600 Unternehmen in Telefoninterviews anonym zu ihren Erfahrungen mit Wirtschaftskriminalität in den Jahren 2002 und 2003 befragt. Demzufolge beläuft sich der durchschnittliche Schaden je Unternehmen auf 3,4 Millionen Euro. An der Spitze rangieren Unterschlagung (29%), Betrug (23%), Industriespionage/ Produktpiraterie (13%) und Korruption (9%). Neben fehlendem Werte- und Unrechtsbewusstsein gaben mehr als 40% der betroffenen Betriebe die mangelnden Kontrollmechanismen als Grund an.
Anmerkung: Eine systematische und anschauliche Vorgehensweise zum Thema Unternehmenssicherheit, das sich von den Geschäftsprozessen bis hin zur IT erstreckt, finden Sie im "Handbuch Unternehmenssicherheit".
Der Strom im Münsterland ist aufgrund von Schneefall, Kälte und Wind mehrtägig ausgefallen. Neben Licht, Elektroherden und Mikrowellen sind teilweise auch Heizungen, Warmwasser, Klima- und Belüftungs- sowie Alarm- und Telefonanlagen ausgefallen. Schnee und umgestürzte Bäume brachten den Flug-, Bahn- und Straßenverkehr zeitweilig zum Erliegen oder behinderten ihn. Menschen kamen verspätet an ihr Ziel. Der Stromausfall wurde ausgelöst durch teilweise oberarmdicke Eispanzer um Überland-Starkstromleitungen, durch deren Gewicht in Kombination mit starkem Wind 50 Hochspannungsmasten eingeknickt sind oder beschädigt wurden, wie Spiegel online am 26.11.2005, wdr.de am 27.11.2005 und FAZ am 28.11.2005 berichten. In verschiedenen Gebieten ist Katastrophenalarm ausgelöst worden. Die Stromversorgung brach teilweise bereits am Freitag, den 25.11.2005, um 2.30 Uhr zusammen. Am Sonntag sind noch rund 120.000 Einwohner im Münsterland ganz oder teilweise ohne Strom, nachdem bei 100.000 Einwohnern die Stromversorgung in der Nacht zum Sonntag wieder aufgenommen werden konnte. Die FAZ berichtet am 30.11.2005, dass der tagelange Stromausfall den Unternehmen nach Schätzung der IHK Nord Westfalen einen wirtschaftlichen Schaden von mehr als 100 Millionen Euro zufüge.
Die ISO 27001, Ausgabe 2005-10, ist erschienen. Sie beschäftigt sich mit den Anforderungen an Information Security Management Systems (ISMS).
Mobilfunknetze sind durch SMS-Angriffe prinzipiell gefährdet, wie Forscher der Pennsylvania State University herausgefunden haben. Demzufolge könnten professionelle Angreifer Denial-of-Service-Attacken (DoS) auf Mobilfunknetze fahren, indem sie eine SMS-Flut auslösen. Da SMS über den Kanal übertragen werden, der auch die Telefonate aufbaut, können Mobilfunknetze so prinzipiell lahm gelegt werden. Als Sender kommen hierfür Mobiltelefone in Frage. Mobilfunknetze können und sollten sich schützen, kurzfristig z.B. durch entsprechende Filtermechanismen und SMS-Limitierung, langfristig durch Separierung der Kanäle für SMS und Telefonie.
Persönliche Anmerkung: Da bei entsprechender Freischaltung SMS auch von E-Mails initiiert werden können, besteht hier die potenzielle Gefahr, dass Botnets zu derartigen Attacken genutzt werden.
Das neue und innovative "Handbuch Unternehmenssicherheit" ist Trendsetter für die Konvergenz von IT- und Unternehmenssicherheit sowie von Sicherheits-, Kontinuitäts- und Risikomanagement. Im Editorial der Zeitschrift WIK, Heft 5, 2005, die zusammen mit der Zeitschrift <kes> im SecuMedia-Verlag erscheint, geht Peter Hohl auf dieses Thema ein. Die IT-Security Area auf der Systems (24.-28.10.2005), die der SecuMedia Verlag und die <kes> organisiert haben, zeigt diesen Trend, der sich in Vortragsthemen und Ausstellern widerspiegelt. Das "Handbuch Unternehmenssicherheit", das im VIEWEG-Verlag erschienen ist, ist dort ebenfalls präsent. Wenn Ihnen dies interessant erscheint und Sie sich - je nach Wissensstand - einen Wissensvorsprung, eine Wissensaktualisierung oder eine Wissensverifizierung verschaffen wollen, können Sie sich über die Buchinhalte informieren und das Buch im Buchhandel bestellen.
84% der betrachteten 1,3 Millionen DNS-Server könnten durch Pharming-Attacken korrumpiert werden, wie eine Umfrage der "The Measurement Factory" ergab. DNS (Domain Name Services) Server übersetzen die alphanumerische Internetadresse (URL) in eine IP-Adresse. Sie sind sozusagen das "Telefonbuch" des Internets. Bei Aufruf einer Website vom Browser liefert der angefragte DNS-Server die zugehörige IP-Adresse, sofern deren IP-Adresse nicht bereits lokal in einer Betriebssystemdatei vorhanden ist.
Pharming manipuliert die Zuordnung von URL und IP-Adresse, so dass eine Umleitung auf eine gefälschte Website erfolgt. Angriffsziele beim Pharming sind die DNS-Server, aber auch die lokale Betriebssystemdatei.
Laut Umfrage schränken z.B. 75% - 84% der DNS-Server rekursive Namesdienste, d.h. die Weiterleitung der Anfrage an einen anderen Namensdienst, nicht ein. "Best practice" sei die Einschränkung rekursiver Namensdienste auf einen kleinen vertrauenswürdigen Kreis von Anfragenden.
40% der DNS-Server erlauben - unabhängig vom Anfragenden - demzufolge den Zonentransfer. Auch dies sollte nur einem ausgewählten Kreis möglich sein. Hierdurch lässt sich ein komplettes Segment der DNS-Daten der Organisation, d.h. der Informationen über das interne Netz, von einem DNS-Server auf einen anderen kopieren. Dies ermöglich DoS-Attacken auf den DNS-Server.
Verborgene forensische Codes in Computerausdrucken. Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) meldet auf ihrer Homepage, dass Ausdrucke mit XEROX DocuColor Laserfarbdruckern forensische Codes enthalten. Diese rechteckigen Gitter aus 15 mal 8 winzigen gelben Punkten codieren Datum, Uhrzeit und Seriennummer des Druckers. SPIEGEL ONLINE berichtet hierzu am 19.10.2005, dass der US-Geheimdienst laut "Washington Post" bestätigt, dass derartige "Wasserzeichen" als Sicherheitsmaßnahme gegen Geldfälscher zum Einsatz kämen. Dies soll die Suche nach Fälschern unterstützen.
Botnet aus mehr als 100.000 Computern in Holland zerschlagen. Dies meldet die "Nationale Recherche" am 7.10.2005. Drei Männer wurden festgenommen, die diesen Verbund von sogenannten "Zombie"-Rechnern betrieben haben sollen. "Zombie"-Rechner sind korrumpierte Rechner, die ohne das Wissen der Nutzer ferngesteuert werden. Die Hauptverdächtigen sollen in Benutzerkonten bei Ebay und Paypal eingedrungen sein. Botnets werden auch für DoS-Attacken missbraucht, um z.B. Online-Shops durch die Androhung, ihre Website lahm zu legen, zu erpressen.
Phishing-Attacken nehmen weiter zu. Laut Online-Meldung der CIO vom 6.10.2005 hat die skandinavische Nordea-Bank wegen eines Phishing-Angriffs das Online-Banking für ihre schwedischen Kunden zeitweise schließen müssen. Die Postbank hat als Antwort auf das Phishing-Problem indizierte TANs eingeführt.
Anmerkung: Phishing-Attacken, also die Abfrage vertraulicher Informationen, wie PIN und TAN, können nicht nur durch E-Mails ausgelöst werden, sondern z.B. auch per SMS.
Über Sicherheitslücken im Taschen-PC Blackberry berichtete die "Wirtschaftswoche" und bezieht sich auf eine Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Handyviren auf dem Vormarsch. Der Handyvirus Cardblock.A löscht Systemverzeichnisse, wie das Sicherheitsunternehmen F-Secure in seiner Meldung vom 30. September 2005 warnt. Dadurch werden u.a. das Telefonbuch, SMS- und MMS-Nachrichten zerstört. Der Virus blockiert nach einem Neustart des Handys den Zugriff auf die Speicherkarte.
Der Norm-Entwurf ISO/IEC FDIS 27001, Ausgabe 2005-06 ist erschienen. Er beschäftigt sich mit Information security management systems - Requirements. Entsprechend existiert der Entwurf der BS 7799-2:2005.
Die überarbeitete Norm ISO/IEC 17799:2005 liegt jetzt vor. Die Norm ISO/IEC 17799, Ausgabe 2005-06, beinhaltet den Code of practice for information security management.
Japanische Banken sind auf der Suche nach Kundendaten wie die FAZ am 1. Juli 2005 berichtet. Drei Banken räumten ein, zehntausende von Mikrofilmen und Compact-Discs mit Daten ihre Geschäftskunden zu vermissen. Neben Adresse und Kontonummer beinhalten die Informationsträger auch Kontostände. Da bereits Anfang des Jahres Kundenkarteien verloren gingen, haben die Bankenaufseher der FSA seit Anfang April 2005 ihre Stichproben erhöht und Banken ihre internen Kontrollen vergrößert.
Computerhacker haben Bankdaten von Kreditkarteninhabern gestohlen, indem sie eine Lücke im Sicherheitssystem einer amerikanischen Abrechnungsfirma ausnutzten, wie die FAZ am 22. Juni 2005 erneut berichtet. Die Bankdaten von mehr als 40 Millionen Kunden von Kredikartenanbietern wie Mastercard, Visa und American Express sind betroffen. Trotz eines ausgefeilten Warnsystems der Kreditkartengesellschaften für ungewöhnliches Nutzerverhalten, raten sie ihren Kunden generell dazu, die Kreditkartenabrechnungen stets genau zu prüfen. Nach Angaben der Kreditkartengesellschaften sind von diesem Vorfall generell jene Karten betroffen, für die Zahlungen über den bestohlenen amerikanischen Kartenprozessor abgewickelt wurden, z.B. im Rahmen von Online-Transaktionen oder Electronic Commerce oder bei Zahlungen in einem Geschäft in Amerika.
IT-Security-Experten weisen auf die zunehmende Gefahr durch Botnets hin, wie die Presse über das EICAR-Forum in München Anfang Juni 2005 berichtet. Botnets sind Computernetze, deren Rechner von Hackern kontrolliert werden. Die Besitzer der Computer wissen meist nicht, dass ihre Rechner von Hackern ferngesteuert und missbraucht werden. Botnets werden beispielsweise genutzt, um Spam- oder Phishing-E-Mails zu versenden, illegale Software im Web anzubieten und Schutzgeld von Betreibern von Online-Shops zu erpressen.
Die Computerkriminalität ist in Deutschland im Jahr 2004 erneut gestiegen wie die polizeiliche Kriminalstatistik 2004 ausweist, die Anfang Juni 2005 vorgelegt wurde. Insgesamt wurden 66.973 Fälle von Computerkriminalität erfasst gegenüber 59.691 Fällen im Jahr 2003 und 57.488 Fällen 2002.
Sicherheitslücken beim Transport von Datenbändern mit Kundendaten häufen sich bei amerikanischen Unternehmen laut FAZ vom 8. Juni 2005. Demzufolge gingen dem United Parcel Service (UPS) Computerbänder der Citigroup Inc. mit Informationen über 3,9 Millionen Kunden verloren. Die Daten umfassten Namen, Sozialversicherungsnummern, Kontonummern und Zahlungsverhalten. Im Mai verlor bereits Time Warner Inc. beim Transport Computerbänder mit persönlichen Informationen, im April verschwand eine Sicherheitskopie des Online-Brokers Ameritrade auf dem Transportweg und im Februar gab die Bank of America den Verlust von Sicherheitskopien mit Informationen über 1,2 Millionen Angestellte des öffentlichen Dienstes bekannt.
Ein in London lebender Israeli soll ein "Trojanisches Pferd" entwickelt haben, mit dem Industriespionage begangen wurde, wie die FAZ am 31. Mai 2005 schreibt. Unter Berufung auf die Polizei berichtet die "Jerusalem Post" über Verbindungen zu ähnlichen Fällen in Europa. Insgesamt sollen mehr als 60 Unternehmen ausspioniert worden sein.
CIA simuliert Internet-Attacke. Die Presse berichtet, dass das "Information Operations Center" (IOC) der CIA unter der Bezeichnung "Silent Horizon" Ende Mai 2005 eine dreitägige Übung durchführte. Die Übung spielte im Jahr 2010 und sollte die Fähigkeiten von Behörden und Wirtschaft auf den Prüfstand stellen, auf Internet-Attacken zu reagieren. Das IOC beschäftigt sich mit dem Schutz "kritischer Infrastrukturen", wie beispielsweise IuK-Systeme von Versorgungsunternehmen für Strom und Telekommunikation. Diese sind in den USA privat organisiert, während sie in Europa teilweise staatlich sind.
Das BSI warnt vor Dialern mit der Satelliten-Rufnummer 008813. Dem Bundesamt für Sicherheit in der Informationstechnik zufolge fanden Telefonkunden auf ihrer Märzabrechnung 2005 Posten mit der Vorwahl 008813, die offenbar auf Verbindungen zurückzuführen sind, die von einem Dialer (automatisches Wählprogramm) vom Computer aufgebaut wurden. Der Preis beträgt je angefangene Minute mindestens 6,14 EUR. Geschädigte können gegen die entsprechende Rechnungsposition beim zuständigen Netzbetreiber Einwendungen erheben.
Eine Computer-Festplatte des Brandenburgischen Innenministeriums mit vertraulichen Daten wurde über Ebay versteigert wie das Darmstädter Echo in seiner Ausgabe vom 4. April 2005 unter Berufung auf das Nachrichtenmagazin "Der Spiegel" berichtet.
Die überarbeitete ISO 17799 liegt im Norm-Entwurf vor. Der Norm-Entwurf ISO/IEC FDIS 17799, Ausgabe 2005-02, beinhaltet den Code of practice for information security management.
Die Zahl an neuen Viren im Jahr 2004 ist um 51,8% angestiegen, wie der Computersicherheitsspezialist Sophos am 8. Dezember 2004 meldet. Netsky-P führt die Top-Ten-Rangliste der schlimmsten Viren an. Er macht fast ein Viertel der gemeldeten Virenvorfälle aus. Insgesamt befinden sich 5 Varianten von Netsky unter den ersten 10.
Umsatzsteuer-Erklärung über das Internet mittels "Elster" weist Sicherheitslücken auf, wie die FAZ am 20. Dezember 2004 berichtet. Es gibt weder einen Schutz durch ein Passwort noch durch eine elektronische Signatur. Gewerbetreibende sind jedoch ab 2005 verpflichtet, die Software "Elster" des Fiskus zu nutzen. Manipulierte und überhöhte Angaben können zu entsprechenden Abbuchungen durch das Finanzamt führen, wenn dort eine Einzugsermächtigung vorliegt. Dadurch besteht die Gefahr, dass das Konto bei einer Überziehung gesperrt und ein Schufa-Eintrag veranlasst wird. Die Bundessteuerberaterkammer hat das Bundesfinanzministerium um Abhilfe gebeten, die auch zugesagt wurde. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, hat sogar gefordert, die Software abzuschalten, bis die Sicherheitslücke geschlossen ist.
Software-Upgrade führt zu Systemausfall. Wie die CIO online unter News & Meinungen am 29. November 2004 berichtet, spielte das britische Department for Work and Pensions (DWP) am 22. November einen Routine-Upgrade von Windows auf, als das gesamte System zusammenbrach. 80.000 der 100.000 Mitarbeiter waren davon betroffen. Es wird angenommen, dass der Crash durch die Installation eines inkompatiblen Systems verursacht wurde.
Der Funktionsfähigkeit des Änderungsmanagements, das auch im Buch "IT-Sicherheit mit System" behandelt wird, kommt in diesem Zusammenhang eine wesentliche Bedeutung zu.
Bei der Auswahl von Providern, Dienstleistern und Lieferanten sollten Sicherheitsaspekte berücksichtigt werden. Hierbei sind u.a. das Sicherheits- und Risikomanagement, aber auch die Solidität und finanzielle Stärke sowie eventuelle Interessenkonflikte durch die Eigentümerstruktur zu berücksichtigen. Dies betrifft auch sehr junge Unternehmen. Hier kann bei der Prüfung der finanziellen Stabilität, der Seriosität und der Reputation jedoch auf keine langjährige Historie zurückgegriffen werden.
Anmerkung: Ein mir persönlich wichtig erscheinender weiterer Sicherheitsaspekt ist die Überprüfung, ob staatsanwaltliche Ermittlungen bzw. Gerichtsverfahren gegen den potenziellen Auftragnehmer oder dessen Geschäftsleiter laufen, die zutreffen, erfolgreich sein werden und hohe Schadenersatzanforderungen nach sich ziehen. Hier besteht im ungünstigen Fall das Risiko, dass eine Verurteilung die Existenz des Auftragnehmers und damit seinen Ausfall, z.B. während eines Software-Entwicklungsprojektes, zur Folge haben kann. Potenziell können dadurch Investitionen des Auftraggebers verloren gehen und seine eigene Reputation Schaden nehmen.
Ein Stromausfall beeinträchtigte den Frankfurter Flughafen und Frankfurter Stadtteile. Wie die Frankfurter Allgemeine Zeitung berichtet, fiel der Strom in den Frankfurter Stadtteilen Niederrad, Goldstein und Schwanheim am Montag, den 1. November 2004, abends stundenlang aus und beeinträchtigte auch den Frankfurter Flughafen. Ampelanlagen fielen aus, Straßenbahnen blieben stehen und Menschen mussten aus steckengebliebenen Fahrstühlen befreit werden. Am Frankfurter Flughafen fiel die Beleuchtung der Start- und Landebahnen für etwa 5 Minuten aus.
Die EU hat 2004 ein Forschungsprojekt zum Identitätsmanagement auf den Weg gebracht. Das diesbezügliche Projekt PRIME (Privacy and Identity Management for Europe) wird mit 10 Mio. Euro gefördert. Ansprechpartner für das Projekt ist in Deutschland das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.
Mehrere Schwachstellen in MIT Kerberos 5 entdeckt, wie das US-CERT unter der Bezeichnung TA04-247A am 3. September 2004 meldete. Nomen est omen? -Der Höllenhund Kerberos der griechischen Mythologie wurde zweimal bezwungen, von Orpheus und Herakles.
Sowohl sicherheitsrelevante Ereignisse als auch gemeldete sicherheitsrelevante Schwachstellen verdoppelten sich seit 1999 bis Ende 2002 im Durchschnitt jährlich laut den Statistiken des CERT Coordination Center. In 2003 haben sich demzufolge die sicherheitsrelevanten Ereignisse zwar nicht mehr verdoppelt, aber immer noch um rund 55.000 auf über 137.000 erhöht. Die gemeldeten sicherheitsrelevanten Schwachstellen liegen mit rund 3.800 Meldungen leicht unter der Angabe für 2002, aber immer noch deutlich über der Zahl von 2001.
Produkt zur Quantenverschlüsselung ist auf dem Markt. Seit November 2003 bietet die US-Firma MagiQ Technologies das Produkt "Navajo" zur Quantenverschlüsselung an.
USA hat Terrorattacken simuliert. Das US-amerikanische "Department of Homeland Security" (DHS) hat im Oktober 2003 unter dem Codenamen "Livewire" eine Übung durchgeführt, die physische und Computer-Attacken u. a. auf Versorgungsunternehmen (Strom und Gas) und Banken der USA simuliert hat.
Spam nimmt kontinuierlich zu. Um dem entgegenzuwirken hat die EU eine Richtlinie erlassen, in der sie sich auch dem Thema "Unerbetene Nachrichten" widmet. In den USA wurde vom US-Senat ein Anti-Spam-Gesetz beschlossen.
Ausfälle kritischer Infrastrukturen häufen sich in 2003: Beispiele sind die Stromausfälle im Norden Amerikas und in Kanada sowie in London im August 2003, am 23. September 2003 in Teilen Dänemarks und Südschwedens sowie am 28. September 2003 in Italien, dessen Rückwirkungen auf das deutsche Stromnetz beherrscht wurden. Am Abend des 15. Oktober 2003 fällt in Ludwigshafen in einem Drittel des Stadtgebiets der Strom aus, wovon 70.000 Menschen betroffen sind. Ein weiteres Beispiel ist der fast 14stündige Ausfall des Mobilfunknetzes von T-Mobile im Großraum Frankfurt am 4. September 2003.