Berichten Sie über diesen Beitrag via Twitter oder Xing. 1 Kommentar

Information Security Risk Management geht in Druck

Von Sebastian Klipper gepostet am 5. Oktober 2010

Diese Woche ist es soweit: Mein zweites Buch “Information Security Risk Management – Risikomanagement mit ISO/IEC 27001, 27005 und 31010″ geht in die Produktion und kann damit pünktlich im November erscheinen. Wer möchte kann das Buch bereits jetzt vorbestellen. Das Buch enthält 34 Abbildungen, 10 Tabellen und 14 Fallbeispiele, die den Stoff anschaulich vermitteln. Über 60 QR-Codes machen das Buch in Verbindung mit einem Smartphone “Internet-fähig”. Das Cover wird so aussehen:

Was Sie erwartet:
Auf dem Weg zu einer Zertifizierung nach ISO/IEC 27001 muss jedes Unternehmen ein Risikomanagementsystem einführen. Hierzu gehört es, Risiken festzustellen und festzulegen, wie mit ihnen umgegangen werden soll. Nicht zuletzt geht es darum, eine leistungsfähige Risikokommunikation zu etablieren. Während sich ISO 27001 nur am Rande mit dieser für die ISO-Zertifizierung wichtigen Frage auseinandersetzt, ist ISO/IEC 27005 genau dafür ausgelegt. Dieses Buch erläutert den Standard, ordnet ihn in die ISO/IEC 27000 Familie ein und gibt Ihnen Tools und Frameworks an die Hand, mit denen Sie ein Risikomanagementsystem aufbauen.

Zusätzliche Funktionen für Smartphones:
Über 60 QR-Codes führen Sie mit Ihrem Smartphone direkt aus dem Buch ins Internet. So gelangen Sie ohne Tippen von der Buchseite aus auf die passende Webseite. An vielen Stellen werden sie direkt zu der richtigen Stelle im Anwenderforum zum Buch geleitet, wo Sie mit dem Autor und anderen Lesern und Anwendern der ISO/IEC 27000 Normenreihe Ihre Erfahrungen austauschen können. Auf diese Weise sind die Vorzüge von Buch und Internet jederzeit für Sie verfügbar.

Inhalt:
Einführung – Grundlagen – ISO/IEC 27005 – ISO/IEC 27005 und BSI IT-Grundschutz – Risiko-Assessments nach ISO/IEC 31010 – Risikokommunikation – Wirtschaftlichkeitsbetrachtung – Die 10 wichtigsten Tipps – Interessante Tools und Frameworks

Die Zielgruppen:
Risikomanager, IT- und Informationssicherheitsbeauftragte, CISOs, Auditoren, Unternehmensberater

Edition <kes>:
Wie bereits mein erstes Buch gehört auch dieses zur Edition <kes>. Die Buchreihe liefert das notwendige Know-how, fördert das Risikobewusstsein und hilft bei der Entwicklung und Umsetzung von Lösungen zur Sicherheit von IT-Systemen und ihrer Umgebung. Herausgeber der Reihe ist Peter Hohl. Er ist darüber hinaus Herausgeber der <kes>–Die Zeitschrift für Informations-Sicherheit (s.a. www.kes.info), die seit 1985 im SecuMedia Verlag erscheint. Die <kes> behandelt alle sicherheitsrelevanten Themen von Audits über Sicherheits-Policies bis hin zu Verschlüsselung und Zugangskontrolle. Außerdem liefert sie Informationen über neue Sicherheits-Hard- und -Software sowie die einschlägige Gesetzgebung zu Multimedia und Datenschutz.

Auswahl weiterer Bücher der Edition <kes>:
Konfliktmanagement für Sicherheitsprofis
Von Sebastian Klipper
Security Awareness
Von Michael Helisch und Dietmar Pokoyski
Mehr IT-Sicherheit durch Pen-Tests
Von Enno Rey, Michael Thumann und Dominick Baier
Der IT Security Manager
Von Heinrich Kersten und Gerhard Klett

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Sicherheitsprobleme bei elektronischen Ausweisen

Von Sebastian Klipper gepostet am 3. Oktober 2010

Weder bei SuisseID noch beim deutschen elektronischen Personalausweis wurden die Systeme bis zu Ende gedacht. Auf der security-zone in Zürich konnte ich mir den Vortrag von Max Moser und Thorsten Schröder selbst ansehen und mich von den Denkfehlern in den beiden Systemen überzeugen lassen. Es geht nicht in erster Linie um die Sicherheit der verwendeten Algorithmen oder der verwendeten Technik. Es ist der Prozess, der mit dem System abgebildet werden soll, der nur mäßig durchdacht ist. Das wundert mich nicht – machen Entwickler doch immer wieder den Fehler zu glauben, sie könnten mit Technik Sicherheitsprobleme lösen. Das Bruce Schneier Zitat ist ja eigentlich ein alter Hut:

“Wenn Sie denken, Technologie kann Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht, und Sie verstehen die Technologie nicht.”

Gefühle 100 Mal wiederholte Max Moser gebetsmühlenartig, das es nicht um die Sicherheit der Technik ginge. Das Problem sei in erster Linie die fehlerhafte Annahme, dass verwendete Arbeitsplatz-Systeme sicher seien. Auch das keine große Neuigkeit.

Die CCC-Pressemitteilung zu den erheblichen Sicherheitsproblemen beider Systeme arbeitet das Thema ausführlich auf und liefert viele Hintergrundinformationen. CCC-Sprecher Dirk Engling kommentierte:

“Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen.”

Auch Sicherheitsforscher Thorsten Schröder stellte klar:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

secAware – Konferenzbericht

Von Sebastian Klipper gepostet am 2. Oktober 2010

Am 29. und 30.09. fand die secAware – 2nd International Workference of Security Awareness in Frankfurt am Main statt. Durch die Veranstaltung führten Birgitte Baardseth (isits) und Marcus Beyer (ISPIN).

Tag 1:

Das Programm begann mit der Key-Note “Der (un)aufmerksame Mensch” des Schweizer Publizisten Dr. Stephan Wehowsky, der sich dem Thema von der eher philosophischen Seite näherte und sich dabei Modellen wie dem des homo ludens bediente. Ausgehend vom Kampf um Menschenbilder und dem Dauerstreit der Kulturen zeigte er den Weg auf, den die Veranstaltung die folgenden beiden Tage nehmen würde: Security Awareness beschäftigt sich mehr mit Menschen und weniger mit Technik.

Nach der weit gefassten Key-Note widmeten sich die nächsten drei Vorträge der Praxis. Andreas Kirsch und Andreas Schnitzer stellen das Sensibilisierungskonzept der Sparkasse Witten vor, gefolgt von den Erfahrungen mit elektronischen Moderationskarten, die Dr. Christoph Schog von T-Systems vorstellte. Im dritten Vortrag berichtete schließlich Margit Karrer über eine international angelegte Awareness-Kampagne der Swiss Re, bevor die Teilnehmer der “Work”-ference sich in zwei Workshops selbst versuchen konnten. Bei Dietmar Pokoyski (known_sense) und Michael Helisch (HECOM) stand die Umsetzung von Awareness-Maßnahmen im Vordergrund, während sich der Workshop von Marcus Beyer (ISPIN) mit der zugehörigen Erfolgsmessung auseinandersetzte.

Zum Ausklang des Tages stellte Kathrin Prantner zusammen mit Christian Molterer die Virtual Training Company der E-SEC vor – eine Softwarelösung mit der Mitarbeiter richtiges und sicheres Verhalten in einem virtuellen Unternehmen ganz konkret einstudieren können.

Tag 2:

Bevor auch am zweiten Tag einige interessante Praxisberichte anstanden, wurden die Workshop-Ergebnisse vorgestellt und Ivona Matas führte danach in die psychologischen Aspekte der Security Awareness ein: “Das Problem liegt zwischen den Ohren der Mitarbeiter” – bereits der Vortragstitel sprach sicher einigen Teilnehmern und Teilnehmerinnen aus der Seele.

Anschließend berichtete Markus Steinkamp (Deutsche Börse) von Gefahren und Chancen im Web 2.0: Gefahren für Mitarbeiter und Chancen für unangenehme Zeitgenossen wie Stalker, Phisher und Co. Wo der Begriff der Gefahren fällt, sind die Risiken meist nicht weit: Haiko Sobbe referierte im Anschluss über die Zusammenhänge zwischen Security Awareness und Risikomanagement und brachte dabei seine Erfahrungen als IT-Sicherheits- und Datenschutzbeauftragter des Klinikums Dortmund mit in den Vortrag ein.

Große Beachtung fanden schließlich die beiden Vorträge von Gerhard T. Meier (BIOTRONIC) und Thomas Dallmann (CYTEC), die die Avatare ihrer aktuellen Awareness Kampagnen vorstellten. Während bei BIOTRONIC Dr. SAFE mit den Mitarbeitern “gemeinsam für mehr Sicherheit” kämpft, begibt sich bei CYTEC das sprechende Fass Cybarry auf die “Expedition Security”. Beide Referenten erreichten mit ihren Kampagnen nicht nur beim Konferenzpublikum sondern vor allem bei Mitarbeitern und Management beachtliche Erfolge.

Zuletzt lag es an mir, den Bogen zur Key-Note zu spannen und die Veranstaltung inhaltlich zusammenzufassen. Mein Thema “Sicherheitsziele kommunizieren” bot dafür genau den richtigen Rahmen. Mit den von mir vorgestellten Ansätzen – die größtenteils meinem Buch “Konfliktmanagement für Sicherheitsprofis” entstammten – konnte ich immer wieder Anknüpfungspunkte zu den Vorträgen und Praxisberichten finden. Aus meiner Sicht konnte ich jedenfalls festhalten, dass es sich gelohnt hat, den Weg nach Frankfurt anzutreten, um an der 2. secAware teilzunehmen.

(Die Links auf den Namen verweisen jeweils auf die XING-Profile der Referenten. Mein XING-Profil finden Sie hier.)

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

PDF-Analyse mit Didier Stevens

Von Sebastian Klipper gepostet am 29. September 2010

Eigentlich war das jetzt kostenlos erhältliche e-Book “Analyzing Malicious PDF Files” als Kapitel für ein Buch geplant, dass jedoch vom Haupt-Autor abgebrochen wurde. Daher gibt es das e-Book jetzt als pdf-download. Ich wiederhole: PDF-DOWNLOAD.

Naja: es wird schon kein Trojaner oder so drin sein – und wenn doch, dann steht in dem pdf-File, wie man das herausfindet…

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

WordPress ersetzt Windows Live Spaces

Von Sebastian Klipper gepostet am 28. September 2010

Wie Linux-community.de berichtet, ersetzt WordPress in Zukunft die Blogger-Platform Windows Live Spaces. Microsoft migriert dazu rund sieben Millionen Nutzer auf WordPress. Windows Live und WordPress haben gestern eine entsprechende Vereinbarung bekanntgegeben.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Online Buchungssystem der Bahn down

Von Sebastian Klipper gepostet am 28. September 2010

Mit diesem Hinweis begrüßte die Bahn heute die Kunden, die über das Online Buchungssystem Tickets kaufen wollten. Das System war in der Mittagszeit für mindestens 150 Minuten nicht erreichbar. Auch aktuell wird nur der Hinweis angezeigt. Wer Tickets kaufen will muss mit dem Schalter vorlieb nehmen.

Update 14:15:
Nach fast drei Stunden konnte ich mich wieder am Buchungssystem anmelden.

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Awareness-Konferenz secAware in Frankfurt

Von Sebastian Klipper gepostet am 27. September 2010

Technik allein ist angesichts der modernen Lebens- und Arbeitswelt mit ihrem immer freieren und unvorhersagbaren Kommunikationsverhalten zunehmend machtlos. Der Anwender muss einen Teil der Verantwortung selber tragen, aber dazu fehlt ihm heute meist noch das Wissen und Können. Mit dieser Herausforderung setzen sich Security-Awareness-Programme auseinander. Auf der secAware erfahren Sie, wie Sie schützenswerte Abläufe und Informationen erkennen und wie Sie die Menschen in Ihrer Organisation für deren Schutz aktivieren. Die 2. secAware findet am 29. und 30. September 2010 in Frankfurt am Main statt. Auch ich bin auf der Veranstaltung mit einem Vortrag vertreten. Mein Thema: “Sicherheitsziele erfolgreich kommunizieren”. Aus dem Flyer: Lesen Sie den vollständigen Beitrag “Awareness-Konferenz secAware in Frankfurt” →

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

security-zone 2010 in Zürich

Von Sebastian Klipper gepostet am 20. September 2010

Die security-zone ist die grösste, neutrale Plattform, der Schweiz, die sich seit 2004 ausschließlich dem Thema Informationssicherheit widmet. Rund 30 IT-Security-Anbieter zeigen, was der Markt neues an Produkten und Lösungen zu bieten hat. Am begleitenden Fachkongress referieren nationale und internationale Experten aus Wissenschaft, Hochschulen und Industrie. Dieses Jahr findet die security-zone am 22. und 23.09.2010 in Zürich statt. Rund 60 hochwertige Vorträge und Workshops decken alle wichtigen strategischen und operativen Themen der IT-Security ab.

Dieses Jahr bin ich auch mit einem Vortrag vertreten. Mein Thema: Unerlässliche Soft-Skills: Kommunikationskompetenz für Sicherheitsprofis:

“Menschliches Handeln oder Unterlassen ist Ursache oder zumindest Wegbereiter der meisten Sicherheitsvorfälle – der Mensch ist und bleibt Risikofaktor Nummer eins. Neben einer ganzen Menge an technischem Know-how bestimmen folgerichtig nicht zuletzt die “Soft-Skills” über Erfolg oder Misserfolg von IT-Sicherheitsbeauftragten, Datenschützern und Co.”

In meinem Vortrag stehen die Themen Risikokommunikation und Konfliktmanagement im Fokus. Neben Inhalten aus meinem ersten Buch “Konfliktmanagement für Sicherheitsprofis” werde ich auch auf Themen aus meinem neuen Buch “Infomation Security Risk Management” eingehen, dessen Manuskript seit wenigen Tagen fertiggestellt ist.

Berichten Sie über diesen Beitrag via Twitter oder Xing. 1 Kommentar

Fehler auf Financial Times Deutschland

Von Sebastian Klipper gepostet am 17. September 2010

Wie der Security Consultant Marko Rogge berichtet, ermöglicht es ein Fehler bei ftd.de, kostenpflichtige Inhalte der Webseite kostenlos lesen zu können.Der betreffende Fehler tritt über die erfolgreiche Suche von Google auf, in dem man gezielt nach einem Artikel sucht. Beispiel wäre: “Fit in Schlips und Pumps”.

Anschließend findet sich bereits recht weit oben ein Artikel der Financial Times Deutschland, der genau diesen Titel hat. Die dort angezeigte URL zeigt die Inhalte für mobile Geräte an. Zudem muss man sich weder registieren noch muss man eine Zahlung dafür leisten. Schaut man sich nun den eigentlichen Artikel an, dann sieht man, dass dieser kostenpflichtig ist:

http://www.ftd.de/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html

Um festzustellen, ob dies bei allen Artikeln so möglich ist, wirft man einen Blick in den Quellcode der Webseite und siehe da, die mobile, kostenlos lesbare Version wird bei allen Artikeln überliefert (fett):


try {
if (navigator.userAgent.search(/(...)/i) > -1) {
document.location.href='http://m.ftd.de/;special;svr=lifestyle/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html?mode=simple';
}
} catch (e) {
}

Der Rest ist denkbar einfach, die mobile URL in den Browser kopieren und man umgeht die Registrierung sowie den Bereich kostenpflichtig auf Inhalte zugreifen zu können. Der Test ergab, dass dieser Umstand auf alle kostenpflichtigen Inhalte zutrifft.

Alternativ austauschbar für jede URL, anstelle www. zu Beginn durch ein m ersetzen und am Ende ?mode=simple eintragen.

Quelle:
Marko Rogge, 17.09.2010
“Fehler auf Financial Times Deutschland ermöglicht kostenloses lesen von kostenpflichtigen Inhalten.”

Berichten Sie über diesen Beitrag via Twitter oder Xing. Bisher keine Kommentare

Das Kauderwelsch der IT-Sicherheitsbeauftragten

Von Sebastian Klipper gepostet am 9. September 2010

In der aktuellen Ausgabe 04/2010 von büro – Magazin für Office-Excellence finden Sie einen Artikel von mir, der sich wieder mit dem Thema Kommunikation auseinander setzt. Der Mensch ist und bleibt Risikofaktor Nummer eins.

Wenn Sicherheitsprofis nicht als die Spaßbremsen des Unternehmens dastehen wollen, wird kommunikative Kompetenz zur Schlüsselqualifikation. Wer es versäumt, klar und möglichst konfliktfrei zu kommunizieren, wird am Ende all die technischen Investitionen und Bemühungen ad absurdum führen.

Der Artikel ist einer von bisher drei Artikeln, die als Promotion für mein Buch “Konfliktmanagement für Sicherheitsprofis” dienen und trägt den Titel:

“Nicht der schon wieder!”
Schluss mit dem Kauderwelsch der IT-Sicherheitsbeauftragten