Follow by Email

Freitag, 30. März 2012

VERANSTALTUNG:
Die neue Europäische Datenschutzverordnung


Aktuell ist eine neue Europäische Datenschutzverordnung in Diskussion. Welche Auswirkungen sich damit auf den Datenschutz allgemein, insbesondere aber auf den betrieblichen Datenschutz und die Regelungsmöglichkeiten des Betriebsrats ergeben, ist Gegenstand eines “Datenschutzbrunchs” am 24. April 2012.

GPA-djp und AK Wien laden zur Informations- und Diskussionsveranstaltung in das Bildungszentrum der AK Wien.

InputgeberInnen und DiskutantInnen sind:

  • die Abgeeordnete zum Europäischen Parlament, Evelyn Regner, die darüber berichten wird, wie die neue Verordnung im Parlament diskutiert wird,
  • die Juristin und Datenschutz-Expertin Kerstin Jerchel von ver.di, die uns den Diskussionsstand in Deutschland näher bringen wird,
  • die Juristin und Datenschutz-Expertin Gerda Heilegger von der AK Wien, die die Auswirkungen des Verordnung auf ArbeitnehmerInnen in Österreich beleuchten wird,
  • den Abgeordneten im Europäischen Parlement, Joe Weidenholzer, der gleichzeitig auch Mitglied in dem EU-Ausschuss ist, dem die neue Verordnung zugewiesen wurde (LIBE),
  • den Betriebsratsvorsitzenden Helmut Wolff von Siemens Enterprise Communications, der die betriebliche Praxis beleuchten wird,
  • die Rechtsanwältin Renate Riedl aus der Anwaltskanzlei Preslmayr, die Erfahrungswerte aus Perspektive der Geschäftsführung in die Diskussion einbringt,
  • und als Eröffnungsredner Wolfgang Katzian, Vorsitzender der GPA-djp.

    weitere Auskunft unter:
    http://blog.gpa-djp.at/bildung/2012/03/28/veranstaltung-die-neue-europaische-datenschutzverordnung/

Donnerstag, 29. März 2012

ITCommunicatGKr - Daily News

ITCommunicatGKr Daily - Veröffentlicht von Georg Krejci –

130 Mitwirkende heute; 426 Artikel, 3 Photos und 10 Videos!

Bring your own Device - Albtraum oder Segen?

29.3.2012 - COMPUTERWOCHE-Marktstudie:

Bring your own Device - Albtraum oder Segen?

Client-Chaos und klaffende Sicherheitslücken oder höhere Anwenderzufriedenheit und größere Produktivität? Die Frage, ob Unternehmen private Devices ihrer Mitarbeiter wie Smartphones und Tablets in Ihrer IT zulassen sollten, spaltet die CIO-Gemeinde.


Inhaltsverzeichnis

Zum Geleit ……………………………
…………………………..…. 2
Studiensteckbrief …………………………..
………………………… 4
Die große CW-Umfrage – IT fürchtet Kontrollverlust ……………… 5
Tabellarische Ergebnisse der Studie ..……………………….
…… 12
Stichproben-Statistik ..……………..………….
…………..…………22
Themenschwerpunkt Bring your own Device – ByoD – Albtraum oder Segen
für CIOs? …..………………….……
…….………….………….…. . 25
Marktzahlen: Millionen neue Geräte drängen in den Markt …..…. 29
Der Firmen-PC ist tot – lang lebe das Personal Device …..……. 30

Analysten-Sicht:
ByoD – nur eine Frage der Zeit …..………………………
……… 35

Ratgeber: Private Smartphones
und Tablets sicher einbinden …..………………………
………… 36
Link
Bestellen unter:
http://w3.cio.de/red.php?r=4616167572272858&lid=167725&ln=26

EU will Internet-Kriminalität mit eigenem Zentrum bekämpfen

CYBERKRIMINALITÄT


75% der europäischen Haushalten haben mindestens einen Computer - und jeder könnte das Ziel von Hackern werden. Die EU will die Bürger und ihre Rechner schützen und baut ein neues Abwehrzentrum.

Sie spähen Kontodaten aus, legen Internetseiten oder ganze Behörden lahm und stoppen nicht an Staatsgrenzen - Hacker und Online-Kriminelle will die EU deswegen künftig mit einem gemeinsamen Zentrum bekämpfen. Ermittler von EU-Kommission, Mitgliedstaaten und der Polizeibehörde Europol sollen dort zusammenarbeiten, sagte EU-Innenkommissarin Cecilia Malmström am Mittwoch in Brüssel.

Im Januar 2013 soll die neue Einheit mit zunächst 30 Mitarbeitern ihren Dienst aufnehmen und bei Europol mit Sitz im niederländischen Den Haag angegliedert werden. Dort sollen einmal 55 Fahnder arbeiten.

Der deutsche IT-Sicherheitsexperte Arne Schönbohm sieht in dem Zentrum "einen Schritt in die richtige Richtung".

Auch Europol ermittelt bereits gegen High-Tech-Kriminalität. Wegen ihrer derzeit begrenzten Ausstattung war die Behörde laut Malmström aber nicht in der Lage, Informationen aus verschiedenen Quellen zu bündeln. Auch Anfragen von Polizei und Staatsanwaltschaften aus den EU-Staaten blieben unbeantwortet. Das soll mit dem neuen Zentrum besser werden.

Das scheint dringend notwendig, denn das Ausmaß der Kriminalität im Netz wächst laut Schönbohm. "Mit Cyberkriminalität wird seit 2009 weltweit mehr Geld verdient als mit Drogen", sagte er. Laut Malmström richten Internetkriminelle pro Jahr bis zu 388 Milliarden US-Dollar Schaden an (290 Milliarden Euro) - und machten selber ein gutes Geschäft mit gestohlenen Informationen.
Kontodaten würden schon für einen Euro verkauft, eine komplett gefälschte Kreditkarte koste rund 140 Euro.

Eine Million Menschen werden der EU-Kommissarin zufolge täglich Opfer von Internet-Kriminalität. Allein bis zu 600.000 Facebook-Profile würden nach Hacker-Angriffen weltweit Tag für Tag gesperrt.

Arbeit der EU-Vermittler richtet sich nur gegen organisierte Kriminalität, dazu gehört der Datendiebstahl etwa beim Onlinebanking ebenso wie Kinderpornografie im Internet.


Quelle:
Kostenloser Newsletter von magnus.de

WEKA MEDIA PUBLISHING GmbH
Telefon: + 49 (0) 89 - 2 55 56 -1111

Mittwoch, 28. März 2012

12 Sicherheitsprognosen für 2012

12 Sicherheitsprognosen für 2012 / Trend Micro


Quelle:
http://www.3xs-it.com/_files/files/TrendMicro/WP_12_Sicherheitsprognosen_2012_DE.pdf


Die BYOD-Ära („Bring Your Own Device“) hat unwiderruflich begonnen. Immer mehr Unternehmensdaten werden auf Geräten gespeichert oder genutzt, die nicht der uneingeschränkten Kontrolle von IT-Administratoren unterliegen.

Damit steigt die Wahrscheinlichkeit von Datenverlusten, die unmittelbar auf die Verwendung unzureichend gesicherter privater Geräte zurückzuführen sind.

2012 wird es ganz zweifellos Vorfälle dieser Art geben.

Gezielte Angriffe auf virtuelle Maschinen (VMs) und Cloud-Computing-Services sind zwar potenziell denkbar – für Angreifer besteht jedoch keine unmittelbare Notwendigkeit zu einer solchen Vorgehensweise, da herkömmliche gezielte Angriffe auch in diesen neuen Umgebungen wirkungsvoll durchgeführt werden können.
Virtuelle und cloudbasierte Plattformen sind genauso leicht angreifbar, aber schwieriger zu schützen. Die Hauptlast tragen also die IT Administratoren, die im Zuge der Übernahme dieser Technologien dafür sorgen müssen, dass die unternehmenskritischen Daten geschützt bleiben.


Mit der weltweit zunehmenden Nutzung von Smartphones werden mobile Plattformen zu immer attraktiveren Zielen für Cyberkriminelle. Besonders die Plattform Android hat sich zu einem bevorzugten Angriffsziel entwickelt, denn sie ist aufgrund ihres Verteilungsmodells für Apps für jedermann vollkommen offen.
Wir sind davon überzeugt, dass sich dies 2012 fortsetzen wird, obgleich auch andere Plattformen unter Beschuss geraten werden.


Bislang stammen die Bedrohungen für mobile Plattformen aus bösartigen Apps. Wir gehen davon aus, dass Cyberkriminelle es künftig auch auf Apps aus seriösen Quellen absehen werden. Voraussichtlich werden sich Schwachstellen oder auch Programmierfehler finden lassen, die einen Datendiebstahl oder

-zugriff ermöglichen. Hinzu kommt, dass nur sehr wenige App-Entwickler über einen wirklich ausgereiften Prozess für den Umgang mit Schwachstellen und deren Behebung verfügen, sodass Sicherheitslücken möglicherweise über einen längeren Zeitraum bestehen bleiben.

Das Botnetz als „herkömmliches“ Instrument der Cyberkriminalität wird sich als Reaktion auf die Maßnahmen seitens der IT- Sicherheitsbranche weiterentwickeln. Die Tage der riesigen Botnetze könnten gezählt sein.

Stattdessen wird es womöglich mehr, wenn auch kleinere, aber dadurch auch leichter kontrollierbare Botnetze geben. Durch kleinere Botnetze sinken die Risiken für Cyberkriminelle: Der Verlust eines einzelnen Botnetzes macht sich dadurch nicht mehr im gleichen Umfang für sie bemerkbar.


Cyberkriminelle werden zunehmend versuchen, Gewinne aus dem Missbrauch rechtmäßiger Online-Ertragsquellen, beispielsweise Online-Werbung, zu ziehen. Auf diese Weise bleiben sie sowohl für die Ermittlungsbehörden als auch für die von Banken und anderen Finanzinstituten zum Schutz vor Betrug eingesetzten Sicherheitswächter unsichtbar.


Online-Gruppen wie Anonymous und LulzSec haben es 2011 zu Berühmtheit gebracht indem sie aus unterschiedlichen politischen Gründen Unternehmen und Einzelpersonen ins Visier genommen haben. Die Motivation dieser Gruppen wird 2012 aller Wahrscheinlichkeit nach noch steigen. Sie werden ihre Fähigkeiten, in Unternehmen einzudringen und die Aufspürung durch IT-Profis und Ermittlungsbehörden zu vermeiden, weiter verbessern.

Vertrauliche Daten werden online gestellt – und zwar größtenteils durch die Nutzer selbst. Die neue Generation der jungen Nutzer sozialer Netzwerke hat eine andere Einstellung zum Schützen und Freigeben von Informationen.

Persönliche Daten werden bereitwilliger an Dritte weitergegeben, beispielsweise in sozialen Netzwerken. Damit bieten sich für Angreifer erstklassige Aussichten.

Durch die größere Menge der online verfügbaren persönlichen Informationen können Cyberkriminelle individuellere und auf das jeweilige Ziel feiner abgestimmte Angriffe gegen Unternehmen aller Größenordnungen starten.
Wie schon in der Vergangenheit werden Cyberkriminelle auch künftig ihr Hauptaugenmerk darauf richten, sich Zugang zu den Online-Bankkonten von Unternehmen zu verschaffen.


Da sich komplexe, hartnäckige Bedrohungen (Advanced Persistent Threats, APT ) zunehmend als wirkungsvoll erweisen, werden auch andere interessierte Parteien – etwa Aktivistengruppen, Unternehmen und Regierungen – dazu übergehen, vergleichbare Tools und Taktiken zur Erreichung ihrer Ziele einzusetzen.


Quelle:
http://www.3xs-it.com/_files/files/TrendMicro/WP_12_Sicherheitsprognosen_2012_DE.pdf



Dienstag, 27. März 2012

Datenschutzaudit nach BSI Grundschutz
Wilhelm Caster


Das Praktiker-Tool zum BSI-Baustein 1.5 Datenschutz
für eine professionelle Datenschutzorganisation!

So schaffen Sie Transparenz und ein angemessenes
Datenschutzniveau!




Der BSI Baustein „Datenschutz" ist eine Gemeinschaftsarbeit der Landesbeauftragten für den Datenschutz (LfD) und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und zeigt somit grundsätzlich auf, wie sich die für die Kontrolle des Datenschutzes zuständigen Behörden ordnungsmäßigen Datenschutz im Unternehmen vorstellen.

Das Audit ermittelt anhand der 15 Maßnahmen Ihr ganz spezielles Gefährdungspotenzial und zeigt Ihnen Wege auf, ggf. vorhandene kritische Gefährdungen durch gezielte Maßnahmen zu beheben.


Maßnahmen
3.1 Datenschutzmanagement (M 7.01) . . . . . . . . . . . . . . . . . . . 11
3.1.1 Grundsätzliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.1.2 Kontrollfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

3.2 Regelung der Verantwortlichkeiten im Bereich
Datenschutz (M 7.02) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2.1 Grundsätzliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2.2 Kontrollfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.3 Aspekte eines Datenschutzkonzepts (M 7.03) . . . . . . . . . . 17
3.3.1 Grundsätzliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.3.2 Kontrollfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

3.4 Prüfung rechtlicher Rahmenbedingungen und
Vorabkontrolle bei der Verarbeitung personenbezogener
Daten (M 7.04) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.1 Grundsätzliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.2 Kontrollfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.5 Festlegung von technisch-organisatorischen
Maßnahmen entsprechend dem Stand der
Technik (M 7.05) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.5.1 Grundsätzliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.5.2 Kontrollfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.6 Verpflichtung/Unterrichtung der Mitarbeiter bei der
Verarbeitung personenbezogener Daten (M 7.06) . . . . . . . . . 25
3.6.1 Grundsätzliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.6.2 Kontrollfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.7 Organisatorische Verfahren zur Sicherstellung der
Rechte der Betroffenen (M 7.07) . . . . . . . . . . . . . . . . . . . . . . . . 27



Hier kostenlose Präsentation [PDF]

Probekapitel als PDF-Datei herunterladen

Sonntag, 25. März 2012

Internetsperren sind unzulässig

MultiMedia und Recht

Internetsperren sind unzulässig – sowohl nach geltendem deutschen als auch nach EU-Recht.

Zu diesem Schluss kommt ein Rechtsgutachten im Auftrag des Verbands der deutschen Internetwirtschaft eco, das heute in Köln bei einem Pressegespräch vorgestellt wurde. Die Ergebnisse des Gutachtens erscheinen zudem in der Zeitschrift:

MMR – MultiMedia und Recht
.



DIETER FREY / MATTHIAS RUDOLPH / JAN OSTER
Internetsperren und der Schutz der Kommunikation im Internet

2 A.
Einführung: Rechtliche Entwicklung von Internetsperren in Deutschland
5 B.
Rechtlicher Schutz der Kommunikation im Internet
14 C.
Schutz der Kommunikation im Internet und glücksspielrechtliche Sperrungsverfügungen
18 D.
Schutz der Kommunikation im Internet und urheberrechtlich begründete Sperrungsverlangen
25 E.
Zusammenfassung



Weitere Infos siehe unter:
http://www.datakontext.com/index.php?seite=artikel_detail&navigation=346&system_id=199194&com=detail&kategorie=323&group=prod

und
http://politik.eco.de/2012/03/16/eco-gutachten-internetsperren-und-der-schutz-der-kommunikation-im-internet/#more-1793

Dokumenten-Download


BSI empfiehlt Überprüfung von PCs auf Schadsoftware


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre LinkRechner auf Befall mit der Schadsoftware "DNS-Changer" zu überprüfen.

Ab sofort ist eine solche Überprüfung mit Hilfe der Webseite www.dns-ok.de ganz einfach möglich.
Diese Webseite wird gemeinsam von der Deutschen Telekom, dem BSI und dem Bundeskriminalamt zur Verfügung gestellt.

Dies wurde notwendig, weil Internetkriminelle die Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer DNS-Server mit der Schadsoftware "DNS-Changer" manipuliert hatten.


Das DNS (Domain Name System) ist einer der wichtigsten Dienste im Internet, welcher für die Umsetzung von Namen (URLs) in IP-Adressen verantwortlich ist.

Im Falle einer Infektion mit der Schadsoftware leitet der Webbrowser die Benutzer bei Abfrage populärer Webseiten unbemerkt auf manipulierte Seiten der Kriminellen um, wo betrügerische Aktivitäten wie beispielsweise die Verbreitung angeblicher Antivirensoftware, Klickbetrug oder nicht lizenzierter Medikamentenverkauf stattfinden.
Zudem konnten die Kriminellen gezielt manipulierte Werbeeinblendungen an infizierte Rechner senden, Suchergebnisse manipulieren und weitere Schadsoftware nachladen.

Es gibt Trojaner, die Ihre Netzwerkeinstellungen (z.B. DNS-Einstellungen) so manipulieren, dass Sie unter Umständen auf gefälschte Webseiten umgeleitet werden, ohne dass Sie Verdacht schöpfen.

Ein Beispiel für solch’ einen Trojaner ist “Zlob“, den es bereits seit Ende 2005 gibt. So tauchte er 2008 z.B. als Video-Codec auf, welcher vorgab für das Abspielen pornographischer Inhalte benötigt zu werden. Dabei meldete die vom Anwender aufgerufene Seite, dass eine ActiveX-Komponente für den Stream fehlt. Fällt das Opfer darauf rein, installiert der Endnutzer anstelle eines Video-Codecs den Schädling.


Weitere Informationen siehe auch unter:
http://www.datakontext.com/index.php?seite=artikel_detail&navigation=346&system_id=194954

und
http://blog.botfrei.de/2011/11/trojaner-andert-dns-einstellungen

auf DNS-Changer überprüfen:
http://www.dns-ok.de/


Lebenszyklus eines Sicherheitkonzepts


Planung und Konzeption:

- Auswahl einer Methode zur Risikobewertung
- Klassifikation von Risiken bzw. Schäden
- Risikobewertung
- Entwicklung einer Strategie zur Behandlung von Risiken
- Auswahl von Sicherheitsmaßnahmen


Umsetzung:

- Erstellung eines Realisierungsplans für das Sicherheitskonzept
- Umsetzung der Sicherheitsmaßnahmen
- Steuerung und Kontrolle der Umsetzung
- Aufbau der Notfallvorsorge & Behandlung von Sicherheitsvorfällen
- Schulung und Sensibilisierung


Erfolgskontrolle & Überwachung:

- Detektion von Sicherheitsvorfällen im laufenden Betrieb
- Überprüfung der Einhaltung von Vorgaben
- Überprüfung der Eignung & Wirksamkeit von Sicherheitsmaßnahmen
- Überprüfung der Effizienz der Sicherheitsmaßnahmen
- Managementberichte


Optimierung & Verbesserung:

- Beseitigung von Fehlern
- Verbesserung von Sicherheitsmaßnahmen



Weitere Informationen siehe unter:

Managementsysteme für Informationssicherheit (ISMS)

Informationssicherheit & IT-Sicherheit


Informationssicherheit
hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein.

IT-Sicherheit
beschäftigt sich an erster Sicherheit von Informationen wird nicht nur durch vorsätzliche Handlungen bedroht wie z.B. Computer-Viren, Abhören der Kommunikation, Diebstahl von Rechnern.

Die folgenden Beispiele verdeutlichen dies:
• Durch höhere Gewalt (z. B. Feuer, Wasser, Sturm, Erdbeben) werden Datenträger und IT-Systeme in Mitleidenschaft gezogen oder der Zugang zum Rechenzentrum versperrt. Dokumente, IT-Systeme oder Dienste stehen damit nicht mehr wie gewünscht zur Verfügung.

• Nach einem missglückten Software-Update funktionieren Anwendungen nicht mehr oder Daten wurden unbemerkt verändert.

• Ein wichtiger Geschäftsprozess verzögert sich, weil die einzigen Mitarbeiter, die mit der Anwendungssoftware vertraut sind, erkrankt sind.

• Vertrauliche Informationen werden versehentlich von einem Mitarbeiter an Unbefugte weitergegeben, weil Dokumente oder Dateien nicht als "vertraulich" gekennzeichnet waren.

Weitere Informationen zu

- ISMS-Definition und Prozessbeschreibung
- Management-Prinzipien
- Ressourcen für Informationssicherheit
- Einbindung der Mitarbeiter in den Sicherheitsprozess
- Der Informationssicherheitsprozess selbst
- Sicherheitskonzept
- IT-Grundschutz

siehe unter:
Managementsysteme für Informationssicherheit (ISMS)