Auflistung aller Beiträge aus der Kategorie

Szene

ψ² = Ps(i)²

Awareness Games Teil 2: InfoSec Domino

Information Security DominoWeihnachtsgeschenk gesucht? Noch Mittel im Topf? In den nächsten Tagen stelle ich einige Security-Geschenkideen vor, mit denen man sich die Vorweihnachtszeit versüßen kann.

Eine davon ist das Spiel Information Security Domino™, das als Kommunikationsbeschleuniger für die Arbeit von CISO und Co dient. In der Küche des CISO ist es das Amuse Gueule – der Starter für Fortbildungen und Schulungen. Es vermittelt ein solides Grundlagenwissen zu sieben ausgesuchten Sicherheitsthemen und bringt so die Spieler auf einen gemeinsamen Wissensstand.

Sie erhalten das Information Security Domino neben Deutsch auch in zwei weiteren Sprachen:

The Information Security Domino is the eye-catcher for your business. You can order it in print runs with more than 50 games in three languages english, german and spanisch. You want your security products to be embedded? You want the game to fit your corporate identity? NO PROBLEM!

Puede adquirir la baraja del Information Security Domino a través de la página Web de Ps(i)² – Seguridad en Sistemas Informáticas. Gustosamente le asesoramos aplicando sus deseos individuales. Puede elegir entre lotes a partir de 50 juegos.

Weitere Informationen finden Sie auf den Produktwebseiten:

Lesen Sie mehr →
ψ² = Ps(i)²

Awareness Games Teil 1: Defense

Vor Weihnachten sucht man ja schon mal verzweifelt nach dem richtigen Geschenk, oder man hat noch zu viel Geld in irgendeinem Topf, das noch unter die Leute muss. Eine Möglichkeit, dieses Problem zu Lösen, die auch noch Spaß macht, sind Awareness Games. Im ersten Teil der kleinen vorweihnachtlichen Reihe mit Geschenkideen für Security-Profis möchte ich Ihnen das Spiel Defense vorstellen:

„Wer hat die vertrauliche Präsentation im Besprechungsraum vergessen?“ „Warum ist Adams Passwort falsch?“ „Wer entlarvt den Social Engineer?“ Und: „Wer ist der Unbekannte, den Lara Linn aus der Flughafen-Lounge abholen soll?“ Ob Sicherheits-Rätselkrimi, Security Anagramm oder Privacy-Rebusrätsel – „DEFENSE – 32 Security brainGames“ ist die Geschenkidee für IT-Sicherheitsbeauftragte.

Das u.a. bereits an Roche Diagnostics lizenzierte Kartenspiel „DEFENSE“ besteht auf den Vorderseiten aus 32 Security-Aufgaben unterschiedlicher Schwierigkeitsstufen, die jeder Kunde aus einem Pool von mehr als 200 verschiedenen, von Experten fachlich geprüften Rätseln konfektionieren kann. Jede Auflösung auf den Kartenrückseiten liefert einen Teil eines ultimativen Mini-Handbuch für Sicherheits- und Datenschutzthemen. So wird hierüber unter anderem erklärt, worum es sich bei Trojanern handelt, warum Verfügbarkeit ein Schutzziel des Datenschutzes darstellt oder was es z.B. mit dem Begriff „Verschlüsselung“ auf sich hat.

Muster, Abbildungen und weitere Informationen bei

aware-house, c/o known-sense
Anschrift: Kaiser-Wilhelm-Ring 30-32, D-50672 Köln
Fon 49 221 91277778, Fax 49 221 2403910
Ansprechpartner: Dietmar Pokoyski (pokoyski@known-sense.de)

oder unter:
http://www.aware-house.com,
http://www.known-sense.de , http://www.hecom-consulting.de
Kartenabbildungen:
http://www.known-sense.de/DEFENSE.pdf (pdf, 17 S., 900 kb)
http://www.known-sense.de/TALKINGSECURITY.pdf (pdf, 11 S., 500 kb)
Awareness-Tool-Katalog „WANTED“:
http://www.known-sense.de/WANTED.pdf (pdf, 24 S., 6 MB)

Lesen Sie mehr →
ψ² = Ps(i)²

Mein neues Buch ab jetzt beim Buchhandel

Heute wurde mein neues Buch Information Security Risk Management an den Buchhandel ausgeliefert. Bis zum Ende des Monats werden die bibliografischen Daten des Buchs auch bei den Online-Buchhändlern aktualisiert. Dort stehen zur Zeit noch die Informationen aus der Planungsphase. Die vollständigen Informationen lauten wie folgt:

Information Security Risk Management
Risikomanagement mit ISO/IEC 27001, 27005 und 31010
Aus der Reihe: Edition <kes>

2011. XVI, 234 S. Mit 31 Abb.10 Tabellen und 14 Fallbeispielen
ISBN: 978-3-8348-1360-2

Buchrücken:
Auf dem Weg zu einer Zertifizierung nach ISO/IEC 27001 muss jedes Unternehmen ein Risikomanagementsystem einführen. Hierzu gehört es, Risiken festzustellen und festzulegen, wie mit ihnen umgegangen werden soll. Nicht zuletzt geht es darum, eine leistungsfähige Risikokommunikation zu etablieren. Während sich ISO 27001 nur am Rande mit dieser für die ISO-Zertifizierung wichtigen Frage auseinandersetzt, ist ISO/IEC 27005 genau dafür ausgelegt.
Dieses Buch erläutert den Standard, ordnet ihn in die ISO/IEC 27000 Familie ein und gibt Ihnen Tools und Frameworks an die Hand, mit denen Sie ein Risikomanagementsystem aufbauen.

Zusätzliche Funktionen für Smartphones:
Über 60 QR-Codes führen Sie mit Ihrem Smartphone direkt aus dem Buch ins Internet. So gelangen Sie ohne Tippen von der Buchseite aus auf die passende Webseite. An vielen Stellen werden sie direkt zu der richtigen Stelle im Anwenderforum zum Buch geleitet, wo Sie mit dem Autor und andren Lesern und Anwendern der ISO/IEC 27000 Normenreihe Ihre Erfahrungen austauschen können. Auf diese Weise sind die Vorzüge von Buch und Internet jederzeit für Sie verfügbar.

Forum zum Buch:

Unter http://iso27005.psi2.de biete ich ein Anwenderforum zum Buch an, dass viele weitere Informationen und Musterdokumente enthält und zum Austausch zum Thema Risikomanagement in der Informationssicherheit einlädt.

Aus dem Inhalt:
Einführung – Grundlagen – ISO/IEC 27005 – ISO/IEC 27005 und BSI IT-Grundschutz – Risiko-Assessments nach ISO/IEC 31010 – Risikokommunikation – Wirtschaftlichkeitsbetrachtung – Die 10 wichtigsten Tipps – Interessante Tools und Frameworks

Zielgruppe:
Risikomanager, IT- und Informationssicherheitsbeauftragte, CISOs, Auditoren, Unternehmensberater

Lesen Sie mehr →
ψ² = Ps(i)²

Google hat den ersten Krieg zu verantworten

Wenn ein Staat mit seinem Militär in das Gebiet eines anderen Staats einmarschiert, dann stößt das meist auf wenig Gegenliebe und manch einer bezeichnet dieses geringe Maß an gegenseitiger Liebe beim Einmarsch fremden Militärs als Krieg. Genau das hat Google jetzt offensichtlich zu verantworten, weil es den Grenzverlauf zwischen Nicaragua und Costa Rica nicht richtig dargestellt hat. Nicaragua marschierte in der Folge aus Versehen in Costa Rica ein, weil man sich auf die Kartendaten von Google verlassen habe! Soldaten Nicaraguas waren auf der Insel Calero gelandet, hatten ein Camp errichtet und die Flagge ihres Landes gehisst. Das berichtete gestern Welt Online. Costa Rica habe indes mit Polizeieinheiten kontern müssen, weil der mittelamerikanische Staat seine Streitkräfte 1948 abgeschafft habe. So schnell kann’s geh’n. Hätte das Militär auch Wikipedia zu Rate gezogen, wäre das nicht passiert.

Bin gespannt, wann der erste Mann versucht seinen Einmarsch ins Schlafzimmer des Nachbarn mit Google Streetview zu begründen: “Wir hatten damals beide die Hausfassade und unsere Gesichter pixeln lassen und nun habe ich natürlich Haus und Frau verwechselt.”

Lesen Sie mehr →
ψ² = Ps(i)²

Bewerberinfos im Netz

“Jede zweite Firma späht Bewerber im Internet aus.” Das titelt heute die Welt Online – wenig sachlich – unter Berufung auf eine repräsentative Umfrage der Bitkom.

„Das Internet ist für Firmen eine wichtige zusätzliche Informationsquelle geworden, um sich ein Bild über einen potenziellen Mitarbeiter zu machen“, erklärte Bitkom-Präsident August-Wilhelm Scheer.

Überrascht es wirklich, wenn sich gleichzeitig immer mehr Bewerber im Netz präsentieren?

“Laut der Umfrage nutzen 45 Prozent aller Firmen Internet-Suchdienste wie Google, Bing oder spezielle Personensuchmaschinen wie Yasni, um zusätzliche Informationen über Bewerber zu finden. Ein Fünftel recherchiert demnach in sozialen Online-Netzwerken mit beruflichem Schwerpunkt wie Xing oder LinkedIn. 17 Prozent aller Unternehmen gaben zudem an, in vornehmlich privat genutzten Communities wie Facebook und StudiVZ nach interessanten Informationen zu stöbern.”

Warum muss man in diesem Zusammenhang von “ausspähen” sprechen, wenn Unternehmen auf frei Zugängliche Informationen zugreifen? Die Schlagzeile könnte ebenso heißen: “Verantwortungslos: Nicht einmal jede zweite Firma nutzt wenigstens gängige Suchmaschinen bei der Einschätzung ihrer Bewerber.”

Lesen Sie mehr →
ψ² = Ps(i)²

“Das Problem sitzt vor dem Rechner”

“Das Problem bei der Sicherheit sitzt ja oft vor dem Rechner”, sagt Jens Fromm, Senior Researcher am Fraunhofer-Institut für Offene Kommunikationssysteme in Berlin. Und er sagt es auf einer Pressekonferenz zum neuen Personalausweis. Einer der anwesenden Journalisten ist vom Spiegel und der schreibt:

“Vor ein paar Jahren hat die Große Koalition nun mal entschieden, dass diese Probleme alle einen elektronischen Ausweis bekommen sollen.”

Und nun wird das Ding durchgezogen, egal wie gut oder schlecht der Personalausweis geworden ist. Allein schon deshalb, weil die kostenlosen Lesegeräte, von denen selbst das Innenministerium aus Sicherheitsgründen abrät, aus dem Konjunkturpaket II finanziert werden. Wer wollte schon den Aufschwung gefährden? Im Internet sein Auto ummelden, ein Konto eröffnen, eine Versicherung abschließen oder seine Rente abfragen – all das wird bald im Browser möglich sein.

Fromm lässt während der Pressekonferenz seinen Vorführ-Ausweis auf dem Lesegerät liegen. Einer der Journalisten meldet sich:

“Bitte, tun Sie mir einen Gefallen, Herr Fromm. Mir dreht sich der Magen um, wenn ich das sehe. Nehmen Sie den Ausweis von dem Lesegerät herunter.”

Herr Fromm kommt der Aufforderung nach. Eigentlich lächerlich, wenn man bedenkt, dass ein Angreifer ein Skript für sich arbeiten lassen würde, dass bereits in wenigen Sekunden hunderte von Konten eröffnen kann.

Wie hatte Thorsten Schröder vom CCC gesagt:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Lesen Sie mehr →
ψ² = Ps(i)²

AET spaltet die Antivirenhersteller

Stonesoft hat in Sachen Advanced Evasion Techniques (AET) nachgelegt (it-sa steht vor der Tür). Nachdem der Hersteller von Sicherheitssoftware am 04.10. mit einer Pressemitteilung die Diskussion um AET eingeläutet hatte, geht es nun also in die zweite Runde. Die eigentliche Botschaft:

“Den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs bieten flexible, softwarebasierte Sicherheitssysteme mit zentralem Management und Remote-Update-Funktion.” ← Zitat aus der Pressemitteilung.

Stonesoft ist übrigens auch auf der it-sa zu sehen. Da kann man sich dann gleich mit “flexiblen, softwarebasierten Sicherheitssystemen mit zentralem Management und Remote-Update-Funktion” eindecken. Die Stand-Nummer wird netterweise in der Pressemitteilung mitgeliefert, da muss man als Leser nicht lange suchen, wenn man erst in Panik geraten ist.

Wenigstens hat die Tagespresse (WeltOnline, SpiegelOnline) nicht nur die Panikmache aufgegriffen, sondern auch die Skeptiker zu Wort kommen lassen. Dass Kassandra-Syndrom weitet sich also mittlerweile selbst auf die eigenen Branchenkollegen aus. Es fragt sich langsam, ob es sich noch um ein echtes Kassandra-Syndrom handelt – Kassandra hatte ja korrekte Warnungen auf Lager, denen keiner Gehör schenken wollte. Was ist, wenn die eine Kassandra etwas anderes prophezeit als die zweite? Mit dieser Frage lässt uns die griechische Mythologie leider alleine.

Lesen Sie mehr →
ψ² = Ps(i)²

BMI streitet Sicherheitsprobleme ab

Wie mir gerade von einem Teilnehmer der Veranstaltung Public IT-Security (PITS) berichtet wird bleibt das BMI bei der Darstellung, dass zum Missbrauch des ePA dessen Besitz notwendig sei. Andreas Reisen, Leiter des Referats “Pass- und Ausweiswesen, Identifizierungssysteme” im Bundesministerium des Innern, habe sich auf der Veranstaltung diesbezüglich geäußert.

Ich hatte am 03.10. hier im Blog auf die Pressemitteilung des Chaos Computer Clubs hingewiesen, in der sich das alles etwas anders anhört: Thorsten Schröder äußert dort den folgenden Wunsch:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Das hat ja dann offensichtlich nicht geklappt. Weiter heißt es in der Pressemitteilung des CCC:

“Das Bundesinnenministerium hat im Rahmen des Großprojektes die einfachen Basis-Lesegeräte erworben, die per Schadsoftware abgeschnüffelt werden können. Eine Million dieser Geräte sollen in einem “Starterkit” an Ausweisbesitzer vergeben werden. Den Betroffenen wird damit eine potentielle Sicherheitslücke untergejubelt. Auch sozial schwache “Kunden” des ePA sind besonders betroffen. Diese werden sich die sicherere Variante der Lesegeräte nur schwerlich leisten können und werden zudem über die potentiellen Risiken gar nicht aufgeklärt. (…)

Auch wenn die Marketing-Abteilungen der profitierenden Unternehmen sowohl in der Schweiz als auch in Deutschland unisono die Sicherheit der Identitätskarten betonen, so beweisen die nun gezeigten Angriffe, daß man nicht einmal im physikalischen Besitz der SuisseID oder des elektronischen Personalausweises sein muß, um Schindluder zu treiben. Die offensichtlich falschen Vertrauensbilder sollten nicht noch von Ministern weiterverbreitet werden.

Das Ministerium und seine nachgeordneten Behörden sehen das ePA-Projekt naturgemäß anders: “Der Spagat zwischen Datenschutz und Bedienungskomfort ist gelungen”, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den elektronischen Personalausweis in seinem aktuellen Jahresbericht.

“Was die da rauchen, hätten wir auch gern mal”, kommentierte CCC-Sprecher Engling.

Wenig hilfreich antwortete Amtssprecher Matthias Gärtner:

“dass in Gebäuden der Bundesverwaltung – und somit auch im BSI – Rauchverbot besteht, so dass wir dem (…) Wunsch des Chaos Computer Clubs nicht entsprechen können.”

Und bei Ausweisen der Bundesverwaltung besteht ein Missbrauchsverbot, möchte man hinzufügen. Innenminister de Maiziére stellte in der “Tagesschau” fest:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.”

Das System kann gehackt werden, aber die Sicherheit des Systems steht außer Frage?!? De Maiziére streitet bar jeglicher Argumentationsgrundlage ab und das BSI hat noch Zeit für Witzchen. Als ich mir in Zürich den Vortrag von Max Moser und Thorsten Schröder angehört habe, fand ich das eigentlich nicht so lustig.

Lesen Sie mehr →
ψ² = Ps(i)²

Information Security Risk Management geht in Druck

Diese Woche ist es soweit: Mein zweites Buch “Information Security Risk Management – Risikomanagement mit ISO/IEC 27001, 27005 und 31010″ geht in die Produktion und kann damit pünktlich im November erscheinen. Wer möchte kann das Buch bereits jetzt vorbestellen. Das Buch enthält 34 Abbildungen, 10 Tabellen und 14 Fallbeispiele, die den Stoff anschaulich vermitteln. Über 60 QR-Codes machen das Buch in Verbindung mit einem Smartphone “Internet-fähig”. Das Cover wird so aussehen:

Was Sie erwartet:
Auf dem Weg zu einer Zertifizierung nach ISO/IEC 27001 muss jedes Unternehmen ein Risikomanagementsystem einführen. Hierzu gehört es, Risiken festzustellen und festzulegen, wie mit ihnen umgegangen werden soll. Nicht zuletzt geht es darum, eine leistungsfähige Risikokommunikation zu etablieren. Während sich ISO 27001 nur am Rande mit dieser für die ISO-Zertifizierung wichtigen Frage auseinandersetzt, ist ISO/IEC 27005 genau dafür ausgelegt. Dieses Buch erläutert den Standard, ordnet ihn in die ISO/IEC 27000 Familie ein und gibt Ihnen Tools und Frameworks an die Hand, mit denen Sie ein Risikomanagementsystem aufbauen.

Zusätzliche Funktionen für Smartphones:
Über 60 QR-Codes führen Sie mit Ihrem Smartphone direkt aus dem Buch ins Internet. So gelangen Sie ohne Tippen von der Buchseite aus auf die passende Webseite. An vielen Stellen werden sie direkt zu der richtigen Stelle im Anwenderforum zum Buch geleitet, wo Sie mit dem Autor und anderen Lesern und Anwendern der ISO/IEC 27000 Normenreihe Ihre Erfahrungen austauschen können. Auf diese Weise sind die Vorzüge von Buch und Internet jederzeit für Sie verfügbar.

Inhalt:
Einführung – Grundlagen – ISO/IEC 27005 – ISO/IEC 27005 und BSI IT-Grundschutz – Risiko-Assessments nach ISO/IEC 31010 – Risikokommunikation – Wirtschaftlichkeitsbetrachtung – Die 10 wichtigsten Tipps – Interessante Tools und Frameworks

Die Zielgruppen:
Risikomanager, IT- und Informationssicherheitsbeauftragte, CISOs, Auditoren, Unternehmensberater

Edition <kes>:
Wie bereits mein erstes Buch gehört auch dieses zur Edition <kes>. Die Buchreihe liefert das notwendige Know-how, fördert das Risikobewusstsein und hilft bei der Entwicklung und Umsetzung von Lösungen zur Sicherheit von IT-Systemen und ihrer Umgebung. Herausgeber der Reihe ist Peter Hohl. Er ist darüber hinaus Herausgeber der <kes>–Die Zeitschrift für Informations-Sicherheit (s.a. www.kes.info), die seit 1985 im SecuMedia Verlag erscheint. Die <kes> behandelt alle sicherheitsrelevanten Themen von Audits über Sicherheits-Policies bis hin zu Verschlüsselung und Zugangskontrolle. Außerdem liefert sie Informationen über neue Sicherheits-Hard- und -Software sowie die einschlägige Gesetzgebung zu Multimedia und Datenschutz.

Auswahl weiterer Bücher der Edition <kes>:
Konfliktmanagement für Sicherheitsprofis
Von Sebastian Klipper
Security Awareness
Von Michael Helisch und Dietmar Pokoyski
Mehr IT-Sicherheit durch Pen-Tests
Von Enno Rey, Michael Thumann und Dominick Baier
Der IT Security Manager
Von Heinrich Kersten und Gerhard Klett

Lesen Sie mehr →
ψ² = Ps(i)²

Sicherheitsprobleme bei elektronischen Ausweisen

Weder bei SuisseID noch beim deutschen elektronischen Personalausweis wurden die Systeme bis zu Ende gedacht. Auf der security-zone in Zürich konnte ich mir den Vortrag von Max Moser und Thorsten Schröder selbst ansehen und mich von den Denkfehlern in den beiden Systemen überzeugen lassen. Es geht nicht in erster Linie um die Sicherheit der verwendeten Algorithmen oder der verwendeten Technik. Es ist der Prozess, der mit dem System abgebildet werden soll, der nur mäßig durchdacht ist. Das wundert mich nicht – machen Entwickler doch immer wieder den Fehler zu glauben, sie könnten mit Technik Sicherheitsprobleme lösen. Das Bruce Schneier Zitat ist ja eigentlich ein alter Hut:

“Wenn Sie denken, Technologie kann Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht, und Sie verstehen die Technologie nicht.”

Gefühle 100 Mal wiederholte Max Moser gebetsmühlenartig, das es nicht um die Sicherheit der Technik ginge. Das Problem sei in erster Linie die fehlerhafte Annahme, dass verwendete Arbeitsplatz-Systeme sicher seien. Auch das keine große Neuigkeit.

Die CCC-Pressemitteilung zu den erheblichen Sicherheitsproblemen beider Systeme arbeitet das Thema ausführlich auf und liefert viele Hintergrundinformationen. CCC-Sprecher Dirk Engling kommentierte:

“Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen.”

Auch Sicherheitsforscher Thorsten Schröder stellte klar:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Lesen Sie mehr →