[datensicherheit.de, 23.11.2010] Die Cyber-Ark Software Ltd. hat auf derIT-Security-Messe it-sa 2010 unter den Ausstellern eine Befragung zur Verwaltung privilegierter Benutzerkonten durchgeführt:
Im Rahmen dieser Messe hat Cyber-Ark die Aussteller zum Thema Passwort-Management interviewt. Insgesamt 279 IT-Experten hätten dabei Rede und Antwort gestanden. 37 Prozent der Interviewten setzten demnach keine Lösung zum automatischen Passwort-Management im Unternehmen ein und 54 Prozent änderten zudem ihre Passwörter nur einmal im Jahr oder in unregelmäßigenAbständen. Dass fast 40 Prozent der auf der it-sa 2010 als Aussteller vertretenen Unternehmen, bei denen die Informationssicherheit zum Kerngeschäftgehört, keine Lösung zur automatischen Verwaltung von Admin-Passwörtern einsetzten, verwundere doch, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Gerade die IT-Sicherheitsexperten sollten ja wissen, dass bei den privilegierten Benutzerkonten noch vieles im Argen liege, denn sie ermöglichten einen ungehinderten Zugriff auf alleunternehmenskritischen Datenbestände.
In einer Zeit der zunehmenden Datenskandale und verschärften Audit- sowie Compliance-Vorgaben sollten gerade hier umfassende Security-Maßnahmen von der Zugangsbeschränkung bis zur Überwachung aller Aktivitäten ergriffen werden, um das Risiko einer unerlaubten Nutzung vertraulicher Informationen auszuschließen. Dass die mangelhafte Verwaltung der Administratoren-Accounts für die Unternehmen erhebliche Gefahren mit sich bringe, zeige ein weiteres Ergebnis der Cyber-Ark-Untersuchung. So habe immerhin jeder vierte Befragte erklärt, dass er unter Umgehung der vorhandenen Sicherheitsmaßnahmen auch jederzeit auf unternehmenskritische Datenbestände zugreifen könnte. Rund 15 Prozent der Befragten hätten sich auch schon einmal unter Nutzung eines privilegierten Accounts Zugang zu vertraulichen Unternehmensinformationen verschafft. Immerhin jeder Zehnte habe gar bestätigt, dass er beim Verlassen des Unternehmens vertrauliche Daten mitnehmen würde.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2010
Nachlese zur it-sa 2010: Eine der bedeutendsten IT-Sicherheitsmessenetabliert / Rund 7.100 Besucher aus Wirtschaft, Forschung und Behördenund 304 Aussteller in Nürnberg

[datensicherheit.de, 03.11.2010] Zu einem Hintergrundgespräch über elektronischen Rechnungsversand traf sich Herausgeber Dirk Pinnow auf der it-sa 2010 mit Uwe Ulbrich, einem der beiden Gründer und geschäftsführenden Gesellschafter des Software- und Systemhauses Net at Work Netzwerksysteme GmbH aus Paderborn:
Grundsätzlich böten die Umstellung des Rechnungsversands auf elektronische Dokumente und deren Transport per E-Mail enorme Einsparpotentiale – und zwar weit über die Portokosten eines Standardbriefs hinaus. Die Amortisationszeiten lägen z.T. gar unter einem Jahr, so Ulbrich. Aber vielfach schreckten noch die als kompliziert empfundenen technischen und organisatorischen Voraussetzungen ab.

© Net at Work Netzwerksysteme GmbH

Uwe Ulbrich: Trotz Einstiegshürden hohes Einsparpotenzial beim elektronischen Rechnungsversand

Sowohl EU-Recht wie nationales Recht sind zu beachten. So fordert die EU-Rechnungsrichtlinie für den elektronischen Versand von Rechnungen die Gewährleistung der Echtheit des Originals und die Vollständigkeit des Inhaltes. Das deutsche Steuergesetz sieht hierzu die qualifizierte Signatur der Rechnungen vor, die sicherstellen soll, dass Rechnungsdokumente während des Transports nicht verändert werden und Absender bzw. Unterzeichner eindeutig erkennbar bleiben.
Werde eine Rechnung nur elektronisch aber eben ohne eine solche qualifizierte Signatur versandt, so sei der Empfänger nicht berechtigt, die ausgewiesene Vorsteuer abzuziehen, warnte Ulbrich vor der fatalen Folge im B2B-Geschäft. Zudem seien die Archivierungsanforderungen gemäß der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen zu beachten. Die elektronische Rechnung müsse also im Originalzustand elektronisch aufbewahrt werden.
Auf die Frage, ob sich angesichts dieser Einstiegshürden eine virtuelle Rechnungsstellung überhaupt lohne, führte Ulbrich aus, dass Musterkalkulationen leicht zeigen könnten, dass etwa bei 2.000 Rechnungen im Monat die Projektkosten bei 25 Cent pro Rechnung lägen, mithin schon deutlich unter den Portokosten für einen Brief aus Papier. Allein nur aus Sicht einer solchen Portoersparnis könnte also die Amortisation in 30 Monaten erreicht werden. Bei 20.000 Rechnungen im Monat beliefen sich die Kosten nur noch auf rund fünf Cent pro Rechnung – damit sei die Amortisation allein aus der Portoersparnis bereits nach 3,6 Monaten erreichbar. Das reale Einsparpotential liege aber noch viel höher, wenn man auch die Kosten für die Teilprozesse Druck, Kuvertieren und Versand der Papierrechnungen mit einbeziehe.
Die Net at Work GmbH habe einen Lösungsvorschlag für ein integriertes System zum elektronischen Rechnungsversand im Angebot – das E-Mail-Gateway „enQsig“ biete alle nötigen Funktionen und Schnittstellen für eine integrierte Lösung.

© Net at Work Netzwerksysteme GmbH

Architektur einer Rechnungssignaturlösung mit E-Mail-Gateway „enQsig“

Rechnungen würden dabei entweder automatisiert oder angestoßen von Benutzern im ERP-System erzeugt und per E-Mail versandt. „enQsig“ sei als E-Mail-Gateway zwischen dem Mailserver des Lieferanten und dem Internet installiert und transportiere so jede ausgehende E-Mail. Rechnungs-E-Mails würden auf Basis eines Regelwerkes erkannt, z.B. an einer definierten Absenderadresse wie z.B. „rechnung [at] lieferant [dot] de“. Bei erkannten Rechnungs-E-Mails erhielten die angehängten Rechnungen von „enQsig“ eine qualifizierte elektronische Signatur. Dazu komme die Lösung „digiSeal server“ der secrypt GmbH zum Einsatz, eine bei der Bundesnetzagentur als sogenannte „Signaturanwendungskomponente“ registrierte Softwarelösung, welche die rechtlichen Standards erfülle. „enQsig“ verfüge über eine offene Schnittstelle zu Archivsystemen und könne damit E-Mail, Rechnungen und Signaturen direkt übergeben, so dass der Datenstand beim Verlassen des System dokumentiert werde. Dieses System könne auch eingehende E-Mails analysieren, automatisiert Rechnungen validieren und an ein Archivsystem übergeben.

Weitere Informationen zum Thema:

Net at Work – Systemhaus
Über uns

[datensicherheit.de, 02.11.2010] In ihrem Fazit zur it-sa 2010 vermeldet die DIGITTRADE GmbH einen zunehmend bewussteren Umgang der Verbraucher mit sensiblen elektronischen Daten – dies habe sich konkret an der Suche nach sicheren Lösungen zur mobilen Datenspeicherung auf der Messe in Nürnberg gezeigt:
Wie erwartet, habe DIGITTRADE auf der it-sa 2010 einen der größten Messe-Erfolge dieses Jahres verzeichnet, so die Geschäftsführerin, Manuela Gimbut. Viele Besucher seien gezielt an den Stand gekommen, um sich nach konkreten Anwendungsmöglichkeiten für deren Speichermedien zu erkundigen.
Ein besonderes Maß an Aufmerksamkeit hätten dabei die „High Security Festplatten HS128 und HS256“ erhalten. Beide mobilen Hochsicherheits-Festplatten würden den höchsten Anforderungen an Datensicherheit gerecht – ohne Performanceverlust verschlüsselten sie Daten mit der weltweit als sicherste Verschlüsselungsmethode geltenden 128- beziehungsweise 256-Bit-Full-Disk-Hardwareverschlüsselung nach AES im ECB- beziehungsweise im CBC-Modus. Eine 2-Stufen-Authentifizierung mittels Smartcard und PIN schütze zuverlässig vor unberechtigtem Zugriff, wobei der kryptografische Schlüssel sich direkt auf der Smartcard befinde und somit bei Verlust der Festplatte zu keinem Zeitpunkt aus dieser ausgelesen werden könne. Dieses Sicherheitsmerkmal in Verbindung mit der Möglichkeit, den kryptografischen Schlüssel durch den Benutzer beliebig oft zu wechseln, hebe laut Gimbut ihre High-Security-Festplatten von allen anderen derzeit auf dem Markt befindlichen externen Festplatten deutlich ab.
Auch der „USB Security Stick USS256“ habe starke Beachtung gefunden – dieser mobile Speicher für die Hosentasche verfüge über ein Hardware-Verschlüsselungsmodul, das die Daten in Echtzeit nach AES mit einer Schlüssellänge von 256 Bit speichere. Ein robustes Metallgehäuse biete darüber hinaus Schutz gegen physische Belastungen und elektromagnetische Wellen, während ein mechanischer Schreibschutzschalter Datenverlust verhindere und einen sicheren Virenschutz bei der Verwendung an fremden PCs ermögliche.

[datensicherheit.de, 29.10.2010] Im Rahmen der Messe it-sa 2010 wurde die Studie „IT-Sicherheitsstandards und IT-Compliance 2010“ des SecuMedia Verlags vorgestellt. Die Umfrage entstand in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit „ibi research“:
Mit den Inhalten des IT-Grundschutzes zeigen sich die Institutionen demnach überwiegend einverstanden, denn annähernd 80 Prozent handeln laut Studie auch ohne Zertifizierung nach dessen Vorgaben. Sehr wenige Institutionen aber seien bisher tatsächlich nach ISO 27001 auf Basis von IT-Grundschutz oder ISO/IEC 27001 zertifiziert – gerade einmal fünf Prozent hätten jeweils den Prozess abgeschlossen und in etwa die gleiche Anzahl plane eine Zertifizierung.
18 Prozent der insgesamt 294 befragten Anwender aus der Praxis hätten der IT-Sicherheit lediglich eine mittlere und sieben Prozent sogar eine niedrige bis sehr niedrige Priorität eingeräumt – angesichts der heute fast täglich bekannt werdenden neuen Sicherheitslücken in Anwendungsprogrammen, Betriebssystemen und Web-Diensten ein erstaunliches Ergebnis, erreichten doch die Schäden durch Cybercrime pro betroffenes Unternehmen mittlerweile durchaus sechsstellige Summen.
Der SecuMedia Verlag hatte im Mai 2010 zusammen mit ibi research und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Umfrage gestartet, die sich explizit mit IT-Sicherheitsstandards wie dem IT-Grundschutz des BSI und mit IT-Compliance beschäftigt.

Weitere Informationen zum Thema:

SecuMedia Verlag
Studie 2010 IT-Sicherheitsstandards und IT-Compliance

ibi research
Neue Studie: IT-Sicherheitstandards und IT-Compliance 2010

[datensicherheit.de, 22.10.2010] Die Veranstalter der it-sa sehen sich bestätigt – sie habe sich als eine der bedeutendsten IT-Sicherheitsmessen etabliert:
Rund 7.100 Besucher – gegenüber 6.600 im Vorjahr – aus Wirtschaft, Forschung und Behörden hätten sich in Nürnberg bei 304 Ausstellern (2009: 257) über neueste Produkte und Entwicklungen auf dem Gebiet der IT-Sicherheit informiert. Die Ausstellungsfläche sei im Vergleich zu 2009 um 70 Prozent gewachsen. Ca. 20 Prozent der vorregistrierten Besucher seien aus dem Nürnberger und Münchner Raum gekommen, 80 Prozent aus dem restlichen Bundesgebiet und dem Ausland. Fachkräfte aus 27 verschiedenen Ländern habe man auf der Messe begrüßen können. Messechefin Veronika Laufersweiler geht davon aus, dass die it-sa auch 2011 wieder ein Höhepunkt im Terminkalender der Branche sein wird. Selbstverständlich werde das Konzept fortlaufend verbessert.

Fazit der ideellen Träger
Mehr als zufrieden mit dem Ergebnis der Messe zeigten sich die beiden ideellen Träger der it-sa – das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM):
IT-Sicherheit sei – wenn auch indirekt – zu einer tragenden Säule der Wirtschaft und der Gesellschaft geworden. Die it-sa sei in dieser Säule ein wichtiger Baustein, um Innovationen der IT-Sicherheit zu präsentieren und zu diskutieren, so Prof. Dieter Kempf, Mitglied im Präsidium des BITKOM.
Für Michael Hange, Präsident des BSI, habe die it-sa 2010 eindrucksvoll gezeigt, was für einen enormen Stellenwert IT-Sicherheit habe; diese Messe sei gewachsen und nunmehr eine feste Größe im Kalender der IT-Fachkräfte in Wirtschaft und Verwaltung.

Offenen Foren in der Messehalle
Großer Beliebtheit bei den Besuchern erfreuten sich die vier offenen Foren direkt in der Messehalle, in denen an den drei Tagen insgesamt über 320 Fachvorträge präsentiert wurden. Als ein besonderer Publikumsmagnet haben sich die täglichen „Live-Hacking“-Vorführungen sowie die Impulsvorträge von Taher Elgamal (Axway) und Nir Zuk (Palo Alto) erwiesen.

Sonderflächen „Das perfekte Rechenzentrum“ und „Convergence-Area“
Als Messe-Premiere wurde die 1.000 Quadratmeter große Sonderfläche „Das perfekte Rechenzentrum“ präsentiert, auf der 22 Unternehmen vielfältige Aspekte rund um die Sicherheit im Rechenzentrum (RZ) abgebildet hatten. Ergänzt wurde dieses Ausstellungsangebot durch geführte Touren und das „Forum Orange“ in der Messehalle, das überwiegend 15-minütige Vorträge zur RZ-Sicherheit und zur Konvergenz physischer und logischer Sicherheit bot.
Die ebenfalls neue Sonderfläche „Convergence-Area“ diente den Besuchern als eine zentrale Anlaufstelle rund um das Zusammenspiel von physischer Sicherheit und IT-Sicherheit. Alle Einzelkomponenten der Aussteller waren hier miteinander verwoben und boten den Besuchern die Möglichkeit, mit einem vor Ort ausgestellten Unternehmensausweis die Ausstellungsstücke auszuprobieren.

„IAM-Area“: Lösungsszenarien zum Thema „Identity- und Accessmanagement“
Nach dem großen Erfolg der „IAM-Area“ auf der it-sa 2009 präsentierte die Peak Solution GmbH auch diesmal wieder durchgängige Lösungsszenarien rund um das Thema „Identity- und Accessmanagement“. Die Besucher erhielten dazu praxisnahe Antworten auf alle Fragen zur Planung und Umsetzung von Anwendungen für die effiziente Verwaltung und sichere Nutzung digitaler Identitäten und Berechtigungen.

Themenorientierten „Topic-Routen“
Zur besseren Orientierung in dem reichhaltigen Angebot der it-sa 2010 sorgten die themenorientierten „Topic-Routen“ – wie in einem Stadtplan fanden Besucher anhand vorgezeichneter Wege direkt zu den passenden Ausstellern, die Lösungen zum gewünschten Problemfeld anboten und relevante Auskünfte geben konnten.

Workshops, Tagungen und Mitgliederversammlungen
Ein weiterer Baustein im Erfolgskonzept der it-sa 2010 waren die zahlreichen Workshops, Tagungen und Mitgliederversammlungen im direkt angeschlossenen Kongresszentrum. Insgesamt luden 14 Fachveranstaltungen zum Besuch ein, unter anderem ein „Grundschutztag“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie der „it-sa Datenschutztag“, organisiert von Computas.

Kommentar des IT-Sicherheitsverbands TeleTrusT
Auch der IT-Sicherheitsverband TeleTrusT zieht nach der it-sa 2010 eine positive Bilanz – die it-sa habe sich als Fachmesse für IT-Sicherheit erfolgreich etabliert.
TeleTrusT widmete sich auf der Messe den Themen „SOA Security“, „IT-Sicherheitspersonalzertifizierung“ (T.I.S.P.), „Mobile Security“, „Rechtssichere Kommunikation“ und „TeleTrusT European Bridge CA“ und präsentierte die von einer Arbeitsgruppe des Verbandes erarbeitete Studie „SOA Security in der Praxis“.
Die Beteiligung von Herstellern, Behörden, Forschungseinrichtungen, Schulungsanbietern und Verbänden unterstreiche die Branchenakzeptanz der Messe. Die ergänzenden Veranstaltungen werteten die it-sa als Fachveranstaltung zusätzlich auf, so TeleTrusT-Vorstandsvorsitzender Prof. Dr. Norbert Pohlmann.
Meinungsaustausch, Kontaktpflege und Vorstellung aktueller Lösungen für IT-Sicherheit müssten im Rahmen eines eigenständigen Formats wie der it-sa eine Plattform haben. TeleTrusT gehe deshalb davon aus, dass die it-sa jetzt und künftig eine maßgebliche Messeaktivität für IT-Sicherheit sei. Nützlich wäre eine noch stärkere Präsenz von Anwendern von IT-Sicherheitstechnologie, ergänzt TeleTrusT-Geschäftsführer Dr. Holger Mühlbauer.

Stellungnahme des Medienpartners datensicherheit.de
Noch am Messestand nahm Dirk C. Pinnow, Herausgeber von datensicherheit.de, Stellung zum Verlauf der Messe, die sicherlich auch im Nachgang, über die drei Tage in Nürnberg hinaus, Wirkung entfalten werde:

datensicherheitde auf YouTube, 21.10.2010

Schlußwort von Dirk C. Pinnow, Herausgeber datensicherheit.de

Es sei offensichtlich geglückt, für das existenzielle Thema IT- bzw. Datensicherheit eine eigene Fachmesse dauerhaft zu etablieren. Die „hochprofessionelle Organisation, die thematische Vielfalt an den Ständen und in den Foren“ sprächen jedenfalls dafür. Namens der Redaktion von datensicherheit.de wünschte er viel Erfolg bei der Fortsetzung der it-sa im kommenden Jahr; als Termin wurde von den Veranstaltern der Zeitraum vom 11. bis 13. Oktober 2011, wieder in Nürnberg, genannt.
Pinnow hob das Projekt „MesseCampus“ hervor, mit dem ein wichtiger Anspruch verbunden sei – nämlich junge Menschen schon früh zu verantwortungsvollem Umgang mit IT zu animieren. Er wünsche sich für dieses Bildungsprojekt nachhaltigen Erfolg, denn gerade die heutigen Jugendlichen würden mehr als die Generationen vor ihnen ein Leben führen, dass im Alltag von hochkomplexer Informations- und Kommunikationstechnik geprägt sei. Datensicherheit im weitesten Sinne meine hierbei Schutz der Integrität und Würde von heranwachsenden Persönlichkeiten. Deshalb appellierte er an die jungen Besucher, solche herausragenden Informations- und Fortbildungsangebote zu nutzen. „Sammeln Sie also nicht nur Tüten, Prospekte und Give-aways, sondern Eindrücke, Anregungen und Hinweise, wie Sie Ihre eigene Datensicherheit durch bewusstes, verantwortungsvolles Tun und Lassen erhöhen!“, so Pinnow zu den jüngeren Messebesuchern.
datensicherheit.de informiere – zwischen den Messen und auf den Messen – über aktuelle Vorkommnisse, Diskussionen und Lösungsansätze. Er freue sich auf ein baldiges Wiedersehen.

Weitere Informationen zum Thema:

datensicherheit.de, 21.10.2010
Nachfrageplus erwartet: Die it-sa 2010 in einer ersten Bilanz / Verantwortliche zeigen sich über positiven Trend erfreut

Die IT-Security-Messe
it-sa

[datensicherheit.de, 21.10.2010] Um eine erste Bilanz der it-sa 2010 zu ziehen, traf sich Carsten Pinnow, Herausgeber von datensicherheit.de, am dritten Messetag mit Peter Hohl, Veranstalter der it-sa, und Sebastian Frank, Pressesprecher der it-sa, zu einem entspannten Hintergrundgespräch im Nürnberger Messezentrum:

datensicherheitde auf YouTube, 21.10.2010

ds tv: Erstes Bilanzgespräch zur it-sa 2010 am dritten Messetag.

[datensicherheit.de, 21.10.2010] SecuMedia-Geschäftsführer Peter Hohl eröffnete im überfüllten „Auditorium“ der it-sa 2010 den „MesseCampus“:
Messen seien heute vom Charakter her nicht mehr so sehr reine Order-Plattformen, sondern vor allem Orte der Begegnung, der Information, des Meinungsaustausches und der Netzwerkbildung. Daher sei ein attraktives Begleitprogramm wichtig – hier nun auf der it-sa mit den verschiedenen Konferenzen, Foren und dem „Auditorium“ gelinge der Brückenschlag zwischen Wirtschaft und Wissenschaft. Zur unerwartet großen Nachfrage vor allem seitens der weit über 100 jungen Teilnehmer am „MesseCampus“ versprach Hohl für kommendes Jahr ein größeres „Auditorium“.

© datensicherheit.de

Peter Hohl, „spiritus rector“ der it-sa, eröffnet „MesseCampus“.

Staatssekretär Franz Josef Pschierer, der IT-Beauftragte der Bayerischen Staatsregierung, drückte abermals seinen Dank für die Durchführung einer solch bedeutenden Veranstaltung am Standort Nürnberg aus – und betonte dabei, dass in Bayern „die Musik“ eben nicht nur in der Hauptstadtregion München spiele. Der „MesseCampus“ werde hier auch politisch sehr ernstgenommen.
Im Freistaat gebe es knapp 400.000 Beschäftigte im IT-Sektor in rund 20.000 Unternehmen – diese seien nicht allein die großen bekannten „Global Players“, sondern vor allem auch viele KMU. Diese stärkten gemeinsam den Standort Bayern, der verteilt auf das Land über eine gute wissenschaftliche Infrastruktur verfüge.
Die Sensibilisierung der Bevölkerung hinsichtlich der Verletzung der IT-Sicherheit sei stark gewachsen; auch bei Informatik-Studenten genieße sie inzwischen einen hohen Stellenwert. Daraus ergebe sich die Notwendigkeit, die Aus- und Weiterbildungsangebote entsprechend fortzuentwickeln. Gerade bei den Lehrkräften dürfe es deshalb keinen Gegensatz oder eine Priorisierung zwischen „Pädagogik“ und „Technik“ geben – beides gehöre gleichermaßen kompetent vermittelt und müsse auch das Sicherheitsbewusstsein der noch jungen Menschen ausbilden.
Abschließend stellt Pschierer fest, dass das Web das ganze Spektrum des menschlichen Handelns und Erlebens virtuell abbilde – eben auch mit sämtlichen Chancen und Risiken.

© datensicherheit.de

Staatssekretär Franz Josef Pschierer: „Pädagogik“ und „Technik“ gleichermaßen wichtig!

Der Vorstandsvorsitzende des Deutschland sicher im Netz e.V., Prof. Dieter Kempf, gab seiner Freude über die sehr große Nachfrage nach dem „MesseCampus“ Ausdruck. Ihm gehe es darum, Risiken und Chancen der IT-Nutzung darzustellen, also keine abschreckende Angstmacherei zu betreiben, sondern konkrete Anleitung zur sicheren IT-Nutzung zu geben – gar Mut zu machen, denn derzeit lehne noch jeder sechste Bürger die Anwendung des Internets ab. Diese schwierige Zielgruppe gelte es behutsam an die dessen Möglichkeiten heranzuführen, biete das Internet doch gerade der älteren Generation trotz eventueller physischer Einschränkungen die wunderbare Möglichkeit der aktiven Teilhabe am gesellschaftlichen Leben. Wichtig sei, dass sich die Menschen beim IT-Gebrauch wohl und sicher fühlten.
Ein Fünftel aller IT-Nutzer indes achte nicht auf Schutzmaßnahmen und gefährde so nicht nur sich selbst, sondern im Kontext der Vernetzung auch Andere. Er nannte einige anonymisierte Beispiele für „Mobbing-Apps“ – diese hätten die Basis der sinnvollen Anwendungen längst verlassen! Deren so beliebte Anwendung unter Kindern und Jugendlichen gefährde vor allem deren persönliche Integrität und Privatsphäre. Das Web sei zu einer virtuellen Begegnungsstätte geworden, so auch für Kriminelle und deren Opfer.
Er könne sich vorstellen, dass das Design von Websites auf den ersten Blick ansprechender erscheine, als sich mit der IT-Sicherheit zu befassen. Im Anschluss würden seine Professoren-Kollegen, wie auch Diplomanden und Doktoranden im Rahmen von Kurzvorlesungen jedoch zeigen, dass IT-Sicherheit ein sehr spannendes Tätigkeitsfeld sein kann. Mit der Feststellung, dass die im „Auditorium“ der it-sa versammelten jungen Menschen über die kommenden Jahrzehnte die IT-Experten der Zukunft sein würden, lud er diese herzlich zur Teilnahme an den folgenden Kurzvorlesungen ein.

© datensicherheit.de

Prof. Dieter Kempf: „Sie werden die IT-Experten der Zukunft sein!“

[datensicherheit.de, 20.10.2010] Kaspersky Lab nutzte die IT-Sicherheitsmesse it-sa 2010 in Nürnberg, um am 19. Oktober neue und aktualisierte Produkte der Unternehmenslösung „Kaspersky Open Space Security“ vorzustellen, die ein hohes Maß an Sicherheit, Flexibilität und Skalierbarkeit bieten sollen:
Neben verbesserten Programmen, unter anderem für Linux, „Windows Server Enterprise Edition“ und „Microsoft Exchange“, gibt es den administrierbaren Kaspersky-Schutz nun auch für Macs und Blackberry-Smartphones. Diese Programme böten hohe Leistung, großen Bedienkomfort und enorme Wirtschaftlichkeit.
Anwender würden vor allem von der komfortablen Verwaltung der Lösungen mit dem kostenlosen „Kaspersky Administration Kit“ profitieren. Das Sicherheitssystem könne effizient über das Netzwerk verwaltet werden, unabhängig von der Anzahl an Netzknoten und der Art der eingesetzten Plattformen. Die aktualisierte Produktlinie verhelfe den Unternehmen zu einem soliden Malware-Schutz für heterogene IT-Infrastrukturen – mit globalem Support in der jeweiligen Landessprache und mit effizient zu administrierenden Lösungen.

[datensicherheit.de, 20.10.2010] Analysiert man die jüngsten Presseberichte über vorsätzliche Verletzungen der Datensicherheit in Betrieben, so wird im Kern erkennbar, dass – egal welcher „Köder“ hierzu ausgelegt wurde – letztlich der fahrlässige Mitarbeiter der eigentliche Verursacher des Schadens ist. Nicht selten verdrängten etwa Neugier und Bequemlichkeit das Sicherheitsbewusstsein, wird es externen Angreifern sehr leicht gemacht:
Frank von Stetten, Vorstand der HvS-Consulting AG aus Garching b. München, führte im „Auditorium“ der it-sa 2010 aus, dass zur Durchführung von Industriespionage mehr und mehr der Mensch als weiches Angriffsziel ins Visier genommen wird. Wie leicht es ist, selbst in gesicherte Betriebsbereiche einzudringen, zeigte er in einem Schulungsfilm, der einerseits belustigte, dann doch auch wieder erschreckte, weil er das menschliche Verhalten so treffend darstellt. Gerade IT-Leute seien z.B. nach seiner Erfahrung so neugierig, dass sie gerne auf einen als „Köder“ ausgelegten, mit ausgeklügelter, nicht sofort erkennbarer Schadsoftware versehenen USB-Stick hereinfielen – und diesen dann zum Auslesen an die betriebliche IT-Infrastruktur ankoppelten. So könne Neugier zur Ausforschung von Betriebsgeheimnissen, aber auch zur Einschleusung zerstörerischer Programme – wie aktuell in der Diskussion etwa der Wurm „Stuxnet“ – führen. Das Video zeigte auch, wie leicht selbst das Eindringen einer Person in einen zugangsüberwachten Betriebsbereich sein kann – das flüchtige Vorzeigen irgendeiner Ausweiskarte gegenüber dem Reinigungspersonal mit dem Hinweis auf eine angebliche Kartenstörung führe häufig zum Erfolg. Ein solches physisches Eindringen einer Person zu Pausenzeiten gestatte dann den vielfältigen Zugriff auf Datenträger – so eben auch auf Papiere. Schlüssel zu Aktenschränken seien meist schnell im Rollcontainer oder in der Stiftbox auf dem Schreibtisch zu finden – und der Akteneinsicht stehe nichts mehr im Wege. Aber auch eine Sichtung des Papierkorbes am zentralen Kopierer fördere so manche „Schätze“ zutage. Neben der Ausforschung papiergebundener Information böten sich manigfaltige Möglichkeiten zur schnellen, heimlichen Manipulation der Rechentechnik an den Arbeitsplätzen. Mit dem Wissen um interne Telefonanschlüsse ließe sich dann z.B. ein Mitarbeiter im Unternehmen gezielt anrufen – mit der Behauptung, dass dessen Arbeitsplatzrechner virenverseucht und deshalb zur Bereinigung des Problems die Kenntnis seines Passwortes notwendig sei, gelinge es in einer Vielzahl der Fälle, dieses auch spontan benannt zu bekommen. In der Regel funktioniere dies in 80 bis 90 Prozent der Fälle; mit einer Sensibilisierung der Belegschaft lasse sich diese Quote auf 20 bis 30 Prozent senken, so von Stetten.

© datensicherheit.de

Frank von Stetten: Ohne Sensibilisierung der Mitarbeiter geht es nicht, denn längst nicht alle IT-Sicherheitsprobleme sind rein technisch zu lösen.

„Security-Awareness-Kampagnen“ sollten sich in drei Phasen gliedern:

1. Wachrütteln der Betroffenen,
2. Wissensvermittlung an die Betroffenen und
3. Maßnahmen zur Nachhaltigkeit der Sensibilität und des Wissens bei den Betroffenen

Letztere seien längerfristig über drei bis fünf Jahre konzeptionell zu gestalten. Sein Haus setze für solche Kampagnen auf die IS-FOX-Produktreihe. Sicherheit müsse integraler Bestandteil der ggf. zu modifizierenden Unternehmenskultur sein.

[datensicherheit.de, 20.10.2010] Die Vision des „papierfreien Büros“ ist seit bald zwei Dekaden oft kolportiert worden – in der Praxis jedoch bis heute wohl eine Utopie. Rudolf Meister, Datenschutzexperte der HSM GmbH + Co. KG aus Frickingen, verdeutlichte dies im „Auditorium“ der it-sa 2010 – das „primitive Papier“ sei noch immer der Datenträger Nr.1:

© datensicherheit.de

Rudolf Meister auf der it-sa 2010 – Papier bleibt wichtiger Datenträger.

Immer wieder lese man in der Zeitung von zufälligen Funden sensibler Dokumente im Altpapier, auf der Straße oder im regulären Hausmüll. Die Brisanz solcher Funde – vor allem wenn es sich etwa um Krankenakten oder Unterlagen von Steuerberatern bzw. Anwälten handelt – liege in der Verletzung der Privat- oder gar Intimsphäre und im Falle des Missbrauchs gar in drohenden Millionenschäden. In diesem Zusammenhang verwies Meister auch auf das Auffinden von Kassenbelegen in den Einkaufskörben oder -wagen einschlägiger Geschäfte, die zuweilen neben der Auflistung der erworbenen Waren auch Transaktionsdaten des bargeldlosen Bezahlens auswiesen. Die Verwendung eines Aktenvernichters sei somit nicht erst im gewerblichen, sondern schon im privaten Umfeld im ureigenen Interesse.
Die DIN-Norm gebe bisher fünf Sicherheitsklassen für die Papier-Reißwölfe vor, die die verbleibenden Schnitzelgrößen definierten. Sein Haus habe im Auftrag des US-amerikanischen Geheimdienstes NSA gar eine sechste Sicherheitsklasse realisiert – durch die Fortschritte der Mustererkennung über Scanner sei es nämlich zunehmend einfacher, Papierfetzen wieder virtuell zusammenzufügen und die Inhalte auszulesen. HSM biete robuste High-Tech-Shredder an, die auch CDs separat zerkleinerten oder sogar ganze Aktenordner im Stück vernichteten.