04.06.2014, Nürnberg – Cloud- und Informationssicherheit

Am 04.06.2014 moderierte Marco Rechenberg an der IHK die Veranstaltung „Cloud- und Informationssicherheit, praktisch umgesetzt in kleinen und mittleren Unternehmen“ in Nürnberg.

Nach einer Vorstellung der Bay. IT-Sicherheitsclusters begrüßte Marco Rechenberg Herrn Fukala, der den Anwesenden einen Einblick in das gemeinsame ISA+ Projekt gab. ISA+ ermöglicht eine schnelle und einfache Bewertung der bereits erreichten Informationssicherheit.
Weitere Informationen zu ISA+ finden Sie auch unter www.ISAplus.de

Im Anschluss zeigte Herr Dombach, wie Unternehmen mit ISIS12 in 12 Schritten ein betriebliches Informations- Sicherheits- Management- System einführen und betreiben können. Eine Beschreibung von ISIS12 gibt der Bay. IT-Sicherheitscluster unter www.ISIS12.de.

Marco Rechenberg stand den interessierten Teilnehmern zur Klärung von Fragen zu ISA+ und ISIS12 zu Verfügung und erläuterte dann das CeSeC Vorgehensmodell.
Mit der Certified Secure Cloud erhalten Entscheider einen direkt anwendbaren Leitfaden für die Vorbereitung, Planung und Durchführung von Cloud-Projekten, bis hin zum Ausstieg aus der „Wolke“.

Abschließend konnten die Teilnehmer an Marco Rechenberg und die anderen Referenten ihre Fragen richten und die Themen noch einmal vertiefen.
Intensiv besprochen wurde u.a. die Anwendbarkeit auf §11 BDSG und der Einsatz im behördlichen Umfeld.

23.05.2014, Palma de Mallorca – Vortrag zum Thema „Cloud Dienste für Rechtsanwälte“

Am 23.05.2014 tagte wieder die Arbeitsgruppe Datenschutz (AGDS) der comTeam Systemhausgruppe.

Marco Rechenberg, der gewählte Vorsitzende der Arbeitsgruppe, hielt an diesem Tag vor anderen Datenschutzbeauftragten und Beratern für IT-Sicherheit einen Vortrag zum Thema „Cloud Dienste für Rechtsanwälte“ und stellte sich der anschließenden Diskussion.

20140527-194851-71331349.jpg

Regensburg, 13.05.2014 – Diskussion zu ISA+ CERT

Bei einem Treffen in Regensburg am 13.05.2014 konnte Marco Rechenberg das Konzept für die Prüfung und Zertifizierung der Informationssicherheit nach dem neuen ISA+ CERT Standard diskutieren.

Alle angesprochenen Netzwerkmitglieder wollen sich kurzfristig als akkreditierte Berater qualifizieren lassen.

Auch Mitglieder aus dem ISIS12 Netzwerk werden diese Zusatzqualifikation anstreben.

Das Bayerische IT-Sicherheitscluster wird dazu kurzfristig Termine anbieten.

29.04.2014, Passau – Vorträge zu CeSeC und ISA+

20140501-010321.jpgAm 29.04.2014 hielten Christian Paulus & Marco Rechenberg im historischen Saal der Stadt Passau vor geladenen Gästen Vorträge zu den Themen „Certified Secure Cloud – Der Wegbereiter für kleinere und mittlere Unternehmen in die Cloud“ sowie „ISA+ Informations- Sicherheits- Analyse für kleine und mittlere Unternehmen“.
20140501-005902.jpg
Eingeleitet wurden diese beiden Themen vom Herrn Böker vom Bundesamt für Sicherheit in der Informationstechnik (BSI), der für die Allianz für Cyber-Sicherheit einen Überblick zur aktuellen Bedrohungslage gab.

Das BSI empfiehlt den Einsatz eines alternativen Browsers

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf eine kritische Schwachstelle in allen Versionen des Browsers Internet Explorer hin. Angaben des Herstellers Microsoft zufolge wird diese Schwachstelle bereits aktiv für zielgerichtete Angriffe ausgenutzt. Bisher erfolgen diese Angriffe gegen die Versionen 9    bis 11 des Internet Explorers. Es ist jedoch davon auszugehen, dass diese Angriffe kurzfristig angepasst und auch gegen ältere Versionen des Browsers eingesetzt werden können.

Externer HTML-Link: http://technet.microsoft.com/library/security/2963983

Das BSI empfiehlt, bis zur Bereitstellung von Sicherheits-Updates auf die Nutzung des Internet Explorers zu verzichten und bis zur Behebung der Schwachstelle einen anderen Browser einzusetzen.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

„Heartbleed Bug“ – das BSI warnt erneut vor der Sicherheitslücke

Die „Heartbleed“ getaufte Lücke in der Verschlüsselungssoftware OpenSSL sorgte in den letzten Wochen für viel Aufsehen in den Medien. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt noch keine Entwarnung dazu. Zu der Sicherheitslücke wurden am 08. April 2014 vom BSI Handlungsempfehlungen veröffentlicht, damit die Sicherheitslücke von den Betroffenen geschlossen werden konnte.

So wurden Betreiber, die auf ihren Servern OpenSSL einsetzen, angehalten, das Update OpenSSL Version 1.0.1g einzuspielen. Weiter hieß es in der Mitteilung des BSI: „Falls seit März 2012 eine verwundbare OpenSSL-Version mit aktivierter Heartbeat-Erweiterung eingesetzt wurde, kann eine vergangene Kompromittierung von Schlüsseln nicht ausgeschlossen werden. Daher empfiehlt das BSI in einem solchen Fall den Austausch der verwendeten OpenSSL Server-, beziehungsweise Client-Zertifikate und Schlüssel sowie eine Änderung der verwendeten Passwörter. Der Austausch sollte erst nach der Einspielung des Updates erfolgen, da ansonsten die neuen Zertifikate wieder kompromittiert werden könnten. Die alten Zertifikate müssen nach erfolgreichem Austausch gesperrt werden. Betreiber sind aufgerufen, ihre Nutzer über die Umsetzung der Aktualisierung zu informieren, damit diese ihre Passwörter kurzfristig ändern.“

Inzwischen haben zahlreiche Betreiber darauf reagiert und Updates eingespielt sowie Zertifikate ausgetauscht. Allerdings gibt es nach Angaben des BSI nach wie vor viele kleinere Webseiten, die keine Konsequenzen daraus gezogen haben. Die Angreifer konzentrieren sich mittlerweile nicht nur auf die Webserver, sondern auch auf andere Systeme, die OpenSSL einsetzen. Deshalb sollte auch E-Mail-Server, Server für Video- und Telefonkonferenzen, weitere von außen erreichbare Server sowie Firewalls auf die Schwachstelle hin untersucht werden.

Weitere Informationen können unter www.bsi.bund.de eingesehen werden.

Studie von PwC: „Der Mittelstand tut zu wenig gegen Datenmissbrauch“

Das Beratungsunternehmen PwC Deutschland hat 600 leitende
Angestellte mittelständischer europäischer Unternehmen zum Thema
IT-Sicherheit
befragt [http://www.pwc.de/de/prozessoptimierung/der-mittelstand-tut-zu-wenig-gegen-datenmissbrauch.jhtml].
Das Ergebnis sei zwar deutlich besser als das des Vorjahres, dennoch
würde zu wenig gegen Datenmissbrauch unternommen. Strategien gegen
Datenmissbrauch seien häufig lückenhaft oder gar nicht erst vorhanden.
Zwar habe die Sensibilität für das Thema zugenommen, gleichzeitig aber
sei die Zahl der „Datenpannen“ um 50 Prozent gestiegen.

Quelle: BSI

15.04.2014, Frankfurt – Konferenz der Mitglieder im Cluster zum Institut für Datenschutz und Informationssicherheit in Europa

Am 15.04.2014 stimmten sich Mitglieder des Kompetenzclusters zum Institut für Datenschutz und Informationssicherheit in Europa in einer Onlinekonferenz vor der Osterpause ab.

Themen waren unter anderem:
– Ausbau der Web-Based-Training Möglichkeiten für Unternehmen, Unternehmensgruppen und Konzerne
– Weiteren Standardisierung zur Aufnahme und Bewertung des IST-Standes – insbesondere bei Begehungen und Prozessdokumentationen
– Weitere Vernetzung und Ausbau der Clusterkompetenzen

Marco Rechenberg moderierte die Konferenz und bündelte die Ergebnisse.

Arbeitsgruppen werden diese Themen bereits am 14.05.2014 in Hamburg weiter aufnehmen und fortführen.

Wie geht es mir Herr Doktor (Snowden)?

Nachdem durch die Offenlegung von Herrn Snowden aktuelle Trends, Technologien und Aktivitäten zum Teil in einem neuen Licht betrachtet werden möchte die philosophische Fakultät der Universität Rostock Herrn Snowden die Ehrendoktorwürde zuerkennen – gleichzeitig ist sich der NSA-Ausschuss über eine Befragung von Herrn Snowden uneins.

Quelle: Frankfurter Allgemeine Zeitung vom 11.04.2014