Anzeige der insgesamt 544 Beiträge von

Sebastian Klipper

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

secAware – Konferenzbericht

Von Sebastian Klipper gepostet am 2. Oktober 2010

Am 29. und 30.09. fand die secAware – 2nd International Workference of Security Awareness in Frankfurt am Main statt. Durch die Veranstaltung führten Birgitte Baardseth (isits) und Marcus Beyer (ISPIN).

Tag 1:

Das Programm begann mit der Key-Note “Der (un)aufmerksame Mensch” des Schweizer Publizisten Dr. Stephan Wehowsky, der sich dem Thema von der eher philosophischen Seite näherte und sich dabei Modellen wie dem des homo ludens bediente. Ausgehend vom Kampf um Menschenbilder und dem Dauerstreit der Kulturen zeigte er den Weg auf, den die Veranstaltung die folgenden beiden Tage nehmen würde: Security Awareness beschäftigt sich mehr mit Menschen und weniger mit Technik.

Nach der weit gefassten Key-Note widmeten sich die nächsten drei Vorträge der Praxis. Andreas Kirsch und Andreas Schnitzer stellen das Sensibilisierungskonzept der Sparkasse Witten vor, gefolgt von den Erfahrungen mit elektronischen Moderationskarten, die Dr. Christoph Schog von T-Systems vorstellte. Im dritten Vortrag berichtete schließlich Margit Karrer über eine international angelegte Awareness-Kampagne der Swiss Re, bevor die Teilnehmer der “Work”-ference sich in zwei Workshops selbst versuchen konnten. Bei Dietmar Pokoyski (known_sense) und Michael Helisch (HECOM) stand die Umsetzung von Awareness-Maßnahmen im Vordergrund, während sich der Workshop von Marcus Beyer (ISPIN) mit der zugehörigen Erfolgsmessung auseinandersetzte.

Zum Ausklang des Tages stellte Kathrin Prantner zusammen mit Christian Molterer die Virtual Training Company der E-SEC vor – eine Softwarelösung mit der Mitarbeiter richtiges und sicheres Verhalten in einem virtuellen Unternehmen ganz konkret einstudieren können.

Tag 2:

Bevor auch am zweiten Tag einige interessante Praxisberichte anstanden, wurden die Workshop-Ergebnisse vorgestellt und Ivona Matas führte danach in die psychologischen Aspekte der Security Awareness ein: “Das Problem liegt zwischen den Ohren der Mitarbeiter” – bereits der Vortragstitel sprach sicher einigen Teilnehmern und Teilnehmerinnen aus der Seele.

Anschließend berichtete Markus Steinkamp (Deutsche Börse) von Gefahren und Chancen im Web 2.0: Gefahren für Mitarbeiter und Chancen für unangenehme Zeitgenossen wie Stalker, Phisher und Co. Wo der Begriff der Gefahren fällt, sind die Risiken meist nicht weit: Haiko Sobbe referierte im Anschluss über die Zusammenhänge zwischen Security Awareness und Risikomanagement und brachte dabei seine Erfahrungen als IT-Sicherheits- und Datenschutzbeauftragter des Klinikums Dortmund mit in den Vortrag ein.

Große Beachtung fanden schließlich die beiden Vorträge von Gerhard T. Meier (BIOTRONIC) und Thomas Dallmann (CYTEC), die die Avatare ihrer aktuellen Awareness Kampagnen vorstellten. Während bei BIOTRONIC Dr. SAFE mit den Mitarbeitern “gemeinsam für mehr Sicherheit” kämpft, begibt sich bei CYTEC das sprechende Fass Cybarry auf die “Expedition Security”. Beide Referenten erreichten mit ihren Kampagnen nicht nur beim Konferenzpublikum sondern vor allem bei Mitarbeitern und Management beachtliche Erfolge.

Zuletzt lag es an mir, den Bogen zur Key-Note zu spannen und die Veranstaltung inhaltlich zusammenzufassen. Mein Thema “Sicherheitsziele kommunizieren” bot dafür genau den richtigen Rahmen. Mit den von mir vorgestellten Ansätzen – die größtenteils meinem Buch “Konfliktmanagement für Sicherheitsprofis” entstammten – konnte ich immer wieder Anknüpfungspunkte zu den Vorträgen und Praxisberichten finden. Aus meiner Sicht konnte ich jedenfalls festhalten, dass es sich gelohnt hat, den Weg nach Frankfurt anzutreten, um an der 2. secAware teilzunehmen.

(Die Links auf den Namen verweisen jeweils auf die XING-Profile der Referenten. Mein XING-Profil finden Sie hier.)

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

PDF-Analyse mit Didier Stevens

Von Sebastian Klipper gepostet am 29. September 2010

Eigentlich war das jetzt kostenlos erhältliche e-Book “Analyzing Malicious PDF Files” als Kapitel für ein Buch geplant, dass jedoch vom Haupt-Autor abgebrochen wurde. Daher gibt es das e-Book jetzt als pdf-download. Ich wiederhole: PDF-DOWNLOAD.

Naja: es wird schon kein Trojaner oder so drin sein – und wenn doch, dann steht in dem pdf-File, wie man das herausfindet…

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

WordPress ersetzt Windows Live Spaces

Von Sebastian Klipper gepostet am 28. September 2010

Wie Linux-community.de berichtet, ersetzt WordPress in Zukunft die Blogger-Platform Windows Live Spaces. Microsoft migriert dazu rund sieben Millionen Nutzer auf WordPress. Windows Live und WordPress haben gestern eine entsprechende Vereinbarung bekanntgegeben.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Online Buchungssystem der Bahn down

Von Sebastian Klipper gepostet am 28. September 2010

Mit diesem Hinweis begrüßte die Bahn heute die Kunden, die über das Online Buchungssystem Tickets kaufen wollten. Das System war in der Mittagszeit für mindestens 150 Minuten nicht erreichbar. Auch aktuell wird nur der Hinweis angezeigt. Wer Tickets kaufen will muss mit dem Schalter vorlieb nehmen.

Update 14:15:
Nach fast drei Stunden konnte ich mich wieder am Buchungssystem anmelden.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Awareness-Konferenz secAware in Frankfurt

Von Sebastian Klipper gepostet am 27. September 2010

Technik allein ist angesichts der modernen Lebens- und Arbeitswelt mit ihrem immer freieren und unvorhersagbaren Kommunikationsverhalten zunehmend machtlos. Der Anwender muss einen Teil der Verantwortung selber tragen, aber dazu fehlt ihm heute meist noch das Wissen und Können. Mit dieser Herausforderung setzen sich Security-Awareness-Programme auseinander. Auf der secAware erfahren Sie, wie Sie schützenswerte Abläufe und Informationen erkennen und wie Sie die Menschen in Ihrer Organisation für deren Schutz aktivieren. Die 2. secAware findet am 29. und 30. September 2010 in Frankfurt am Main statt. Auch ich bin auf der Veranstaltung mit einem Vortrag vertreten. Mein Thema: “Sicherheitsziele erfolgreich kommunizieren”. Aus dem Flyer: Lesen Sie den vollständigen Beitrag “Awareness-Konferenz secAware in Frankfurt” →

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

security-zone 2010 in Zürich

Von Sebastian Klipper gepostet am 20. September 2010

Die security-zone ist die grösste, neutrale Plattform, der Schweiz, die sich seit 2004 ausschließlich dem Thema Informationssicherheit widmet. Rund 30 IT-Security-Anbieter zeigen, was der Markt neues an Produkten und Lösungen zu bieten hat. Am begleitenden Fachkongress referieren nationale und internationale Experten aus Wissenschaft, Hochschulen und Industrie. Dieses Jahr findet die security-zone am 22. und 23.09.2010 in Zürich statt. Rund 60 hochwertige Vorträge und Workshops decken alle wichtigen strategischen und operativen Themen der IT-Security ab.

Dieses Jahr bin ich auch mit einem Vortrag vertreten. Mein Thema: Unerlässliche Soft-Skills: Kommunikationskompetenz für Sicherheitsprofis:

“Menschliches Handeln oder Unterlassen ist Ursache oder zumindest Wegbereiter der meisten Sicherheitsvorfälle – der Mensch ist und bleibt Risikofaktor Nummer eins. Neben einer ganzen Menge an technischem Know-how bestimmen folgerichtig nicht zuletzt die “Soft-Skills” über Erfolg oder Misserfolg von IT-Sicherheitsbeauftragten, Datenschützern und Co.”

In meinem Vortrag stehen die Themen Risikokommunikation und Konfliktmanagement im Fokus. Neben Inhalten aus meinem ersten Buch “Konfliktmanagement für Sicherheitsprofis” werde ich auch auf Themen aus meinem neuen Buch “Infomation Security Risk Management” eingehen, dessen Manuskript seit wenigen Tagen fertiggestellt ist.

Berichten Sie über diesen Beitrag via Twitter oder Xing. 1 Kommentar

Fehler auf Financial Times Deutschland

Von Sebastian Klipper gepostet am 17. September 2010

Wie der Security Consultant Marko Rogge berichtet, ermöglicht es ein Fehler bei ftd.de, kostenpflichtige Inhalte der Webseite kostenlos lesen zu können.Der betreffende Fehler tritt über die erfolgreiche Suche von Google auf, in dem man gezielt nach einem Artikel sucht. Beispiel wäre: “Fit in Schlips und Pumps”.

Anschließend findet sich bereits recht weit oben ein Artikel der Financial Times Deutschland, der genau diesen Titel hat. Die dort angezeigte URL zeigt die Inhalte für mobile Geräte an. Zudem muss man sich weder registieren noch muss man eine Zahlung dafür leisten. Schaut man sich nun den eigentlichen Artikel an, dann sieht man, dass dieser kostenpflichtig ist:

http://www.ftd.de/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html

Um festzustellen, ob dies bei allen Artikeln so möglich ist, wirft man einen Blick in den Quellcode der Webseite und siehe da, die mobile, kostenlos lesbare Version wird bei allen Artikeln überliefert (fett):


try {
if (navigator.userAgent.search(/(...)/i) > -1) {
document.location.href='http://m.ftd.de/;special;svr=lifestyle/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html?mode=simple';
}
} catch (e) {
}

Der Rest ist denkbar einfach, die mobile URL in den Browser kopieren und man umgeht die Registrierung sowie den Bereich kostenpflichtig auf Inhalte zugreifen zu können. Der Test ergab, dass dieser Umstand auf alle kostenpflichtigen Inhalte zutrifft.

Alternativ austauschbar für jede URL, anstelle www. zu Beginn durch ein m ersetzen und am Ende ?mode=simple eintragen.

Quelle:
Marko Rogge, 17.09.2010
“Fehler auf Financial Times Deutschland ermöglicht kostenloses lesen von kostenpflichtigen Inhalten.”

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Das Kauderwelsch der IT-Sicherheitsbeauftragten

Von Sebastian Klipper gepostet am 9. September 2010

In der aktuellen Ausgabe 04/2010 von büro – Magazin für Office-Excellence finden Sie einen Artikel von mir, der sich wieder mit dem Thema Kommunikation auseinander setzt. Der Mensch ist und bleibt Risikofaktor Nummer eins.

Wenn Sicherheitsprofis nicht als die Spaßbremsen des Unternehmens dastehen wollen, wird kommunikative Kompetenz zur Schlüsselqualifikation. Wer es versäumt, klar und möglichst konfliktfrei zu kommunizieren, wird am Ende all die technischen Investitionen und Bemühungen ad absurdum führen.

Der Artikel ist einer von bisher drei Artikeln, die als Promotion für mein Buch “Konfliktmanagement für Sicherheitsprofis” dienen und trägt den Titel:

“Nicht der schon wieder!”
Schluss mit dem Kauderwelsch der IT-Sicherheitsbeauftragten

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Street View Verifizierungscode

Von Sebastian Klipper gepostet am 7. September 2010

Am 23. Februar hatte ich berichtet, wie man gegen Google Street View Widerspruch einreichen kann und einen Musterbrief bereitgestellt. Am 18. August schließlich bekam ich eine E-Mail mit weiteren Anweisungen. Nun ist auch der Verifizierungscode eingetroffen (zum Lesen auf den Umschlag klicken):

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Trojaner trägt Mitschuld an Flugzeugabsturz

Von Sebastian Klipper gepostet am 25. August 2010

Unter Berufung auf die spanische Tageszeitung El Pais berichtet Heise Online, dass möglicherweise ein Trojaner Mitschuld an dem Spanair-Absturz im August 2008 habe. Der Rechner habe die Aufgabe gehabt bei technischen Fehlern Alarm zu schlagen. Dieser Alarm sei durch den Trojaner möglicherweise verhindert worden. Die Maschine war auf dem Weg nach Gran Canaria kurz nach dem Start in Madrid abgestürzt. Dabei kamen 154 Menschen ums Leben, nur 18 überlebten. El Pais berichtete bereits im Mai, dass es bei dem Alarmsystem Probleme gegeben hatte.

In dem betroffenen System werden von Technikern Mängel eingetragen. Treten diese mehrfach nacheinander auf, schlägt das System Alarm. Bisher war unklar, warum das vor zwei Jahren nicht geschah.