Auflistung aller Beiträge aus der Kategorie

Veröffentlichungen

ψ² = Ps(i)²

Awareness Games Teil 1: Defense

Vor Weihnachten sucht man ja schon mal verzweifelt nach dem richtigen Geschenk, oder man hat noch zu viel Geld in irgendeinem Topf, das noch unter die Leute muss. Eine Möglichkeit, dieses Problem zu Lösen, die auch noch Spaß macht, sind Awareness Games. Im ersten Teil der kleinen vorweihnachtlichen Reihe mit Geschenkideen für Security-Profis möchte ich Ihnen das Spiel Defense vorstellen:

„Wer hat die vertrauliche Präsentation im Besprechungsraum vergessen?“ „Warum ist Adams Passwort falsch?“ „Wer entlarvt den Social Engineer?“ Und: „Wer ist der Unbekannte, den Lara Linn aus der Flughafen-Lounge abholen soll?“ Ob Sicherheits-Rätselkrimi, Security Anagramm oder Privacy-Rebusrätsel – „DEFENSE – 32 Security brainGames“ ist die Geschenkidee für IT-Sicherheitsbeauftragte.

Das u.a. bereits an Roche Diagnostics lizenzierte Kartenspiel „DEFENSE“ besteht auf den Vorderseiten aus 32 Security-Aufgaben unterschiedlicher Schwierigkeitsstufen, die jeder Kunde aus einem Pool von mehr als 200 verschiedenen, von Experten fachlich geprüften Rätseln konfektionieren kann. Jede Auflösung auf den Kartenrückseiten liefert einen Teil eines ultimativen Mini-Handbuch für Sicherheits- und Datenschutzthemen. So wird hierüber unter anderem erklärt, worum es sich bei Trojanern handelt, warum Verfügbarkeit ein Schutzziel des Datenschutzes darstellt oder was es z.B. mit dem Begriff „Verschlüsselung“ auf sich hat.

Muster, Abbildungen und weitere Informationen bei

aware-house, c/o known-sense
Anschrift: Kaiser-Wilhelm-Ring 30-32, D-50672 Köln
Fon 49 221 91277778, Fax 49 221 2403910
Ansprechpartner: Dietmar Pokoyski (pokoyski@known-sense.de)

oder unter:
http://www.aware-house.com,
http://www.known-sense.de , http://www.hecom-consulting.de
Kartenabbildungen:
http://www.known-sense.de/DEFENSE.pdf (pdf, 17 S., 900 kb)
http://www.known-sense.de/TALKINGSECURITY.pdf (pdf, 11 S., 500 kb)
Awareness-Tool-Katalog „WANTED“:
http://www.known-sense.de/WANTED.pdf (pdf, 24 S., 6 MB)

Lesen Sie mehr →
ψ² = Ps(i)²

Quantitative Analyse meiner Bücher

Am 15.06.2009 ging die erste E-Mail mit einer Buchidee an den Vieweg+Teubner-Verlag. Etwa einen Monat später war die erste Idee soweit überarbeitet, dass daraus ein ordentliches Buchkonzept geworden ist. Nach drei Monaten Schreibzeit lag das Manuskript meines ersten Buchs “Konfliktmanagement für Sicherheitsprofis” vor mir. Nur kurze Zeit später war klar: Es werden mindestens zwei weitere Bücher folgen. Am 12.11. wurde nun mein zweites Buch “Information Security Risk Management” an den Buchhandel ausgeliefert. Dank twitter-Statusmeldungen hatte ich bei beiden Büchern den Schreibverlauf (in Tastaturanschlägen) dokumentiert. Der Graph zeigt den Verlauf beim Schreiben des zweiten Buchs. Zum Vergleich ist auch die Konfliktmanagement-Kurve eingezeichnet:

Lesen Sie mehr →
ψ² = Ps(i)²

Mein neues Buch ab jetzt beim Buchhandel

Heute wurde mein neues Buch Information Security Risk Management an den Buchhandel ausgeliefert. Bis zum Ende des Monats werden die bibliografischen Daten des Buchs auch bei den Online-Buchhändlern aktualisiert. Dort stehen zur Zeit noch die Informationen aus der Planungsphase. Die vollständigen Informationen lauten wie folgt:

Information Security Risk Management
Risikomanagement mit ISO/IEC 27001, 27005 und 31010
Aus der Reihe: Edition <kes>

2011. XVI, 234 S. Mit 31 Abb.10 Tabellen und 14 Fallbeispielen
ISBN: 978-3-8348-1360-2

Buchrücken:
Auf dem Weg zu einer Zertifizierung nach ISO/IEC 27001 muss jedes Unternehmen ein Risikomanagementsystem einführen. Hierzu gehört es, Risiken festzustellen und festzulegen, wie mit ihnen umgegangen werden soll. Nicht zuletzt geht es darum, eine leistungsfähige Risikokommunikation zu etablieren. Während sich ISO 27001 nur am Rande mit dieser für die ISO-Zertifizierung wichtigen Frage auseinandersetzt, ist ISO/IEC 27005 genau dafür ausgelegt.
Dieses Buch erläutert den Standard, ordnet ihn in die ISO/IEC 27000 Familie ein und gibt Ihnen Tools und Frameworks an die Hand, mit denen Sie ein Risikomanagementsystem aufbauen.

Zusätzliche Funktionen für Smartphones:
Über 60 QR-Codes führen Sie mit Ihrem Smartphone direkt aus dem Buch ins Internet. So gelangen Sie ohne Tippen von der Buchseite aus auf die passende Webseite. An vielen Stellen werden sie direkt zu der richtigen Stelle im Anwenderforum zum Buch geleitet, wo Sie mit dem Autor und andren Lesern und Anwendern der ISO/IEC 27000 Normenreihe Ihre Erfahrungen austauschen können. Auf diese Weise sind die Vorzüge von Buch und Internet jederzeit für Sie verfügbar.

Forum zum Buch:

Unter http://iso27005.psi2.de biete ich ein Anwenderforum zum Buch an, dass viele weitere Informationen und Musterdokumente enthält und zum Austausch zum Thema Risikomanagement in der Informationssicherheit einlädt.

Aus dem Inhalt:
Einführung – Grundlagen – ISO/IEC 27005 – ISO/IEC 27005 und BSI IT-Grundschutz – Risiko-Assessments nach ISO/IEC 31010 – Risikokommunikation – Wirtschaftlichkeitsbetrachtung – Die 10 wichtigsten Tipps – Interessante Tools und Frameworks

Zielgruppe:
Risikomanager, IT- und Informationssicherheitsbeauftragte, CISOs, Auditoren, Unternehmensberater

Lesen Sie mehr →
ψ² = Ps(i)²

Information Security Risk Management geht in Druck

Diese Woche ist es soweit: Mein zweites Buch “Information Security Risk Management – Risikomanagement mit ISO/IEC 27001, 27005 und 31010″ geht in die Produktion und kann damit pünktlich im November erscheinen. Wer möchte kann das Buch bereits jetzt vorbestellen. Das Buch enthält 34 Abbildungen, 10 Tabellen und 14 Fallbeispiele, die den Stoff anschaulich vermitteln. Über 60 QR-Codes machen das Buch in Verbindung mit einem Smartphone “Internet-fähig”. Das Cover wird so aussehen:

Was Sie erwartet:
Auf dem Weg zu einer Zertifizierung nach ISO/IEC 27001 muss jedes Unternehmen ein Risikomanagementsystem einführen. Hierzu gehört es, Risiken festzustellen und festzulegen, wie mit ihnen umgegangen werden soll. Nicht zuletzt geht es darum, eine leistungsfähige Risikokommunikation zu etablieren. Während sich ISO 27001 nur am Rande mit dieser für die ISO-Zertifizierung wichtigen Frage auseinandersetzt, ist ISO/IEC 27005 genau dafür ausgelegt. Dieses Buch erläutert den Standard, ordnet ihn in die ISO/IEC 27000 Familie ein und gibt Ihnen Tools und Frameworks an die Hand, mit denen Sie ein Risikomanagementsystem aufbauen.

Zusätzliche Funktionen für Smartphones:
Über 60 QR-Codes führen Sie mit Ihrem Smartphone direkt aus dem Buch ins Internet. So gelangen Sie ohne Tippen von der Buchseite aus auf die passende Webseite. An vielen Stellen werden sie direkt zu der richtigen Stelle im Anwenderforum zum Buch geleitet, wo Sie mit dem Autor und anderen Lesern und Anwendern der ISO/IEC 27000 Normenreihe Ihre Erfahrungen austauschen können. Auf diese Weise sind die Vorzüge von Buch und Internet jederzeit für Sie verfügbar.

Inhalt:
Einführung – Grundlagen – ISO/IEC 27005 – ISO/IEC 27005 und BSI IT-Grundschutz – Risiko-Assessments nach ISO/IEC 31010 – Risikokommunikation – Wirtschaftlichkeitsbetrachtung – Die 10 wichtigsten Tipps – Interessante Tools und Frameworks

Die Zielgruppen:
Risikomanager, IT- und Informationssicherheitsbeauftragte, CISOs, Auditoren, Unternehmensberater

Edition <kes>:
Wie bereits mein erstes Buch gehört auch dieses zur Edition <kes>. Die Buchreihe liefert das notwendige Know-how, fördert das Risikobewusstsein und hilft bei der Entwicklung und Umsetzung von Lösungen zur Sicherheit von IT-Systemen und ihrer Umgebung. Herausgeber der Reihe ist Peter Hohl. Er ist darüber hinaus Herausgeber der <kes>–Die Zeitschrift für Informations-Sicherheit (s.a. www.kes.info), die seit 1985 im SecuMedia Verlag erscheint. Die <kes> behandelt alle sicherheitsrelevanten Themen von Audits über Sicherheits-Policies bis hin zu Verschlüsselung und Zugangskontrolle. Außerdem liefert sie Informationen über neue Sicherheits-Hard- und -Software sowie die einschlägige Gesetzgebung zu Multimedia und Datenschutz.

Auswahl weiterer Bücher der Edition <kes>:
Konfliktmanagement für Sicherheitsprofis
Von Sebastian Klipper
Security Awareness
Von Michael Helisch und Dietmar Pokoyski
Mehr IT-Sicherheit durch Pen-Tests
Von Enno Rey, Michael Thumann und Dominick Baier
Der IT Security Manager
Von Heinrich Kersten und Gerhard Klett

Lesen Sie mehr →
ψ² = Ps(i)²

PDF-Analyse mit Didier Stevens

Eigentlich war das jetzt kostenlos erhältliche e-Book “Analyzing Malicious PDF Files” als Kapitel für ein Buch geplant, dass jedoch vom Haupt-Autor abgebrochen wurde. Daher gibt es das e-Book jetzt als pdf-download. Ich wiederhole: PDF-DOWNLOAD.

Naja: es wird schon kein Trojaner oder so drin sein – und wenn doch, dann steht in dem pdf-File, wie man das herausfindet…

Lesen Sie mehr →
ψ² = Ps(i)²

Online Buchungssystem der Bahn down

Mit diesem Hinweis begrüßte die Bahn heute die Kunden, die über das Online Buchungssystem Tickets kaufen wollten. Das System war in der Mittagszeit für mindestens 150 Minuten nicht erreichbar. Auch aktuell wird nur der Hinweis angezeigt. Wer Tickets kaufen will muss mit dem Schalter vorlieb nehmen.

Update 14:15:
Nach fast drei Stunden konnte ich mich wieder am Buchungssystem anmelden.

Lesen Sie mehr →
ψ² = Ps(i)²

security-zone 2010 in Zürich

Die security-zone ist die grösste, neutrale Plattform, der Schweiz, die sich seit 2004 ausschließlich dem Thema Informationssicherheit widmet. Rund 30 IT-Security-Anbieter zeigen, was der Markt neues an Produkten und Lösungen zu bieten hat. Am begleitenden Fachkongress referieren nationale und internationale Experten aus Wissenschaft, Hochschulen und Industrie. Dieses Jahr findet die security-zone am 22. und 23.09.2010 in Zürich statt. Rund 60 hochwertige Vorträge und Workshops decken alle wichtigen strategischen und operativen Themen der IT-Security ab.

Dieses Jahr bin ich auch mit einem Vortrag vertreten. Mein Thema: Unerlässliche Soft-Skills: Kommunikationskompetenz für Sicherheitsprofis:

“Menschliches Handeln oder Unterlassen ist Ursache oder zumindest Wegbereiter der meisten Sicherheitsvorfälle – der Mensch ist und bleibt Risikofaktor Nummer eins. Neben einer ganzen Menge an technischem Know-how bestimmen folgerichtig nicht zuletzt die “Soft-Skills” über Erfolg oder Misserfolg von IT-Sicherheitsbeauftragten, Datenschützern und Co.”

In meinem Vortrag stehen die Themen Risikokommunikation und Konfliktmanagement im Fokus. Neben Inhalten aus meinem ersten Buch “Konfliktmanagement für Sicherheitsprofis” werde ich auch auf Themen aus meinem neuen Buch “Infomation Security Risk Management” eingehen, dessen Manuskript seit wenigen Tagen fertiggestellt ist.

Lesen Sie mehr →
ψ² = Ps(i)²

Das Kauderwelsch der IT-Sicherheitsbeauftragten

In der aktuellen Ausgabe 04/2010 von büro – Magazin für Office-Excellence finden Sie einen Artikel von mir, der sich wieder mit dem Thema Kommunikation auseinander setzt. Der Mensch ist und bleibt Risikofaktor Nummer eins.

Wenn Sicherheitsprofis nicht als die Spaßbremsen des Unternehmens dastehen wollen, wird kommunikative Kompetenz zur Schlüsselqualifikation. Wer es versäumt, klar und möglichst konfliktfrei zu kommunizieren, wird am Ende all die technischen Investitionen und Bemühungen ad absurdum führen.

Der Artikel ist einer von bisher drei Artikeln, die als Promotion für mein Buch “Konfliktmanagement für Sicherheitsprofis” dienen und trägt den Titel:

“Nicht der schon wieder!”
Schluss mit dem Kauderwelsch der IT-Sicherheitsbeauftragten

Lesen Sie mehr →
ψ² = Ps(i)²

Security-Know-how im Viererpack

Auf vielen Security-Konferenzen steht in diesem Jahr Lieblingsthema – die richtige Kommunikation mit Mitarbeitern und Führungskräften – im Mittelpunkt. Auf vier Konferenzen bin ich als Referent mit dabei. Kernthema meiner Vorträge wird es sein, der Frage nachzugehen, wie IT-Sicherheitsbeauftragte es schaffen, Mitarbeiter und Führungskräfte dabei zu unterstützen, richtig mit den Gefahren komplexer Informationssysteme umzugehen: Die richtige Kommunikationsstrategie ist gefragt.

Technik allein ist angesichts der modernen Lebens- und Arbeitswelt mit ihrem immer freieren und unvorhersagbaren Kommunikationsverhalten zunehmend machtlos. Der Anwender muss einen Teil der Verantwortung selber tragen, aber dazu fehlt ihm heute meist noch das Wissen und Können. Ich würde mich freuen Sie auf einem der Events persönlich kennen zu lernen. Wir können uns gerne auf der Veranstaltung treffen. In Zürich wird es am Vorabend eine XING-Veranstaltung der IT-Connection geben, die ich moderieren werde. Hier die Links zu den Events:

  • Vortrag: Fackongress zur security-zone vom 22. bis 23.09.2010 in Zürich
  • Vortrag: 2. secAware vom 29. bis 30.09.2010 in Frankfurt a.M.
  • Keynote: OWASP AppSec-Konferenz als begleitende Fachveranstaltung zur it-sa vom 19. bis 21.10.2010 in Nürnberg
  • Workshop und Vortrag: T.I.S.P. Community Meeting des TeleTrusT e. V. vom 03. bis 04.11.2010 in Köln
Lesen Sie mehr →
ψ² = Ps(i)²

Bitkom und Forsa liefern neue Passwort-Prozente

Zuletzt veröffentlichte der Branchenverband Bitkom eine Passwort-Studie, wonach 37 Prozent der Befragten ihre Passwörter an andere weitergeben.

“Viele Menschen geben ihre Passwörter weiter, weil sie befürchten, sie selbst zu vergessen – ähnlich wie den Haustürschlüssel, den man sicherheitshalber in der Nachbarschaft hinterlegt..”

Das war damals die ebenso überraschende wie wenig überzeugende Interpretation der Studie. Diesmal lautet die wichtigste Erkenntnis der Studie:

“Deutsche sind ihren Passwörtern zu treu

  • 40 Prozent ändern ihre wichtigsten Zugangscodes nie freiwillig
  • Frauen argloser als Männer, Jüngere verhalten sich vergleichsweise vernünftig”

Nach der überraschenden Interpretation bleibt die Bitkom diesmal auf dem Teppich. Schade eigentlich…

Lesen Sie mehr →