Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Die Bücher dieser Reihe gibt es über eisberg:group (Publikationen anklicken)

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

Links zur Informationssicherheit

Eine Gemeinschaftsarbeit aller Autoren, zusammengestellt, immer wieder aktualisiert und kommentiert von Philipp Schaumann.

Link zum Gesamtinhaltsverzeichnis.

 

Allgemeines

Bericht des Europäischen Parlaments über Echelon (das Abhörsystem) - an anderer Stelle mehr zum Thema Abhören und abgehört werden

Hier gibt es Tipps auf klicksafe.de zu vielen wichtigen Themen, z.B. Chatten, Social Networking, etc., speziell auch für Jugendliche.

Mein Glossar der Informationssicherheit (ständig erweitert, jetzt > 150 Seiten, > 1,5 MB, PDF) bietet umfassende Definitionen, Hinweise und Erklärungen rund um die Informationssicherheit.

Ein sehr interessantes Forum zu Fragen der Datenrettung - was tun, wenn die Daten verschwunden sind? www.wannago.de/

 

Hilfe bei der Erstellung eines Sicherheitskonzepts (Security Policy)

Bundesdeutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) Herausgeber des
IT-Grundschutzhandbuches, eines grundlegenden und umfassenden [erschlagenden] Werkes zur Informationssicherheit (vollständiger Text im Internet)

SANSs Beispiele von Security Policies (Achtung, US-amerikanischer Stil)

Österreichisches Sicherheitshandbuch des Chief Information Office -Stabstelle IKT- des Bundes in Österreich (vollständiger Text im Internet)

Eine wegen starker Industrienähe nicht ganz unumstrittene Initiative in Deutschland, die auf jeden Fall viele interessante Ressourcen bietet, u.a. Checklisten: "Deutschland sicher im Netz". Interessant auch Themen für Private wie Bezahlen im Netz, Emails & soziale Netze und Datensicherung und auch für Unternehmer wie Cloud Computing, Social Networks, Bring your own Device. Hier die Kritik (z.B. dass Optionen wie Mozilla oder Firefox nicht erwähnt werden und die Produkte der Mitglieder dafür recht prominent.

Hier auf dieser Website: viele Anregungen und Tipps zur Sicherheits-Policy

COBIT Organisation, die Organisation der IT-Revisoren

NIST (National Institute for Standards and Technology), die amerikanische Standardisierungsbehörde, in diesem Fall die Computer Security Division. Dies ist eine tolle Quelle für sehr gute kostenlose Handbücher. Empfohlen sind u.a.

    NIST 800-30 Risk Management Guide for Information Technology Systems,
    NIST 800-31 Intrusion Detection Systems (IDS)
    NIST 800-16 Security Training
    NIST 800-40 Patch Management
    NIST 800-48 Wireless Security
    NIST 800-50 Awareness Training

 

Angriff und Verteidigung

Qualys bietet mit SSL Labs einen kostenlosen Test, mit dem jeder prüfen kann, wie gut z.B. der Webserver seiner Bank konfiguriert ist.

Hier gibt einige kostenlose online Scanner für Schwachstellen, Malware [und schlechte (Server)-Konfigurationen], z.B.:

  • Symantec Prüft auf Viren und Konfigurationsschwächen
  • Kostenloser Malware-Scan von Trend Micro
  • Kostenloser Malware-Scan von ESET
  • Kostenloser Malware-Scan von F-Secure
  • Sicherheitscheck des Datenschutzbeauftragten in Niedersachsen Diverse Tests von Browser und Rechner, in Zusammenarbeit mit dem heise Verlag
  • securityspace Man muss sich registrieren, dann gibt es einen sehr umfangreichen Scan gratis
  • qualys scant beliebige IP-Adressen, verschweigt in der kostenlosen Test-Version allerdings einige Details der gefundenen Sicherheitslücken. Qualys kann auch genutzt werden um Webserver zu testen
  • heise.de Browser-Check auf die Sicherheitseinstellungen des Webbrowser

Wie finde ich heraus, wer mich angreift oder scannt? Die Who Is-Datenbank, bei Eingabe einer IP-Adresse bekommt man als Antwort, wer diesen Adressbereich angemeldet hat. DNS Lookup gibt es hier, d.h. man gibt z.B. eine Domaine ein und bekommt die IP-Adresse, entweder des Webservers, oder des Mailservers, etc. Diese IP-Adresse kann ich dann z.B. in Whois verwenden. network-tools.com bietet alle diese Funktionalitäten auf einer Website, ebenso dnswatch.info

Die einfachste Möglichkeit bzgl. Schwachstellen und notwendigen Aktualisierungen von Programmen auf dem Laufenden zu bleiben, ist das Abonnieren der technischen Warnungen des Bürger-CERTs aus Deutschland (und für Windows-PCs hilft noch besser der kostenlose PSI Inspector von Secunia)

US-CERT bietet 4 Mailinglisten. Traditionell nur für EDV-Profis, jetzt mit 2 neuen Mailing-Listen speziell für den EDV-Laien, sei es ein Benutzer eines Heim-PCs oder ein Kleinunternehmer. Datenbank von Sicherheitslücken, automatische Benachrichtigung für neue Lücken per E-Mail (ein Muss für alle Systembetreuer!). Auf deutsch gibt es CERT.at. Beide Organisationen wenden sich hauptsächlich an Profis.

Auch auf Deutsch gibt es beim Bürger-CERT aus Deutschland Informationen die auf den IT-Laien zugeschnitten sind - der Newsletter ist zu empfehlen.

secunia.com, Security Advisories, viele Betriebssysteme abgedeckt.

Bei Problemen im Bereich der Wirtschaftskriminalität hilft in Österreich die ICC

Detailwissen über die Vorgehensweisen der Hacker und Cracker im Honeypot Projekt

 

Reports, Zahlen, Fakten, Studien

Aktuelle Reports und Studien zur Informationssicherheit

Diese Links sind etwas älter, aber führen oft zu generischen Seiten, auf denen auch die aktuellen Reports zu finden sind.

In meinen monatlichen Newslettern verweise ich jeden Monat auf aktuelle Reports und Studien zur Informationssicherheit.

Die hier aufgelisteten Studien sind in der Regel allgemeiner Natur zum Thema Internet, Kriminalität, Schadsoftware, etc. Links zu spezielleren Studien sind überall auf der Website bei den jeweiligen Themen "versteckt".

Microsoft Auswertungen von MS Defender und MSRT Statistiken: Security Intelligence Report (SIR) (auch ältere Ausgaben, zu empfehlen auch die Ausgabe 2.H 2006 zu "Rogue Security Software", d.h. fälschliche Information über angebliche Infektion zum Verkauf von Software, die dann sogar bisweilen Trojaner installiert)

Sehr ausführliche CyberCrime Reports aus den USA: Internet Crime Complaint Center (IC3) Internet Fraud - Crime Report (jährlich). Erstellt von FBI und NW3C (National White Collar Crime Center), einer Organisation von US- und internetionalen Law Enforcement Stellen.

ENISA, (European Network Information and Security Agency) veröffentlicht immer wieder Studien und Hilfestellungen.

Thema Datenschutz: detaillierte Gegenüberstellung der Datenschutz-Regulierung in Europa, den USA, Japan, Südkorea, Malaysia und Indien im Auftrag der EU Kommission

McAfee Threat Center mit Threats Outlooks, diverse Whitepaper und Quarterly Threat reports

Symantec Internet Security Threat Report, jeweils die aktuellen Ausgaben, halbjährlich, auch regional, z.B. für EMEA (Europe + Middle East + Africa) und Archiv bis 2002 - leichtes Problem mit Over-Reporting, die Zahlen für das akuelle Quartal werden oft in späteren Ausgaben nach unten korrigiert.

Sophos nakedsecurity Blog und andere Materialien

Das Antiviren-Unternehmen Kaspersky veröffentlicht Berichte und Studien

Computer Security Institute (US-Organisation von Information Security Professionals)

PWC Economic Crime Surveys

Ernst & Young - Global Information Security Survey

Studie zum Russian Business Network (RBN)

IBM Internet Security Systems (ISS) X-Force Research and Development Team. Monatliche, halb- und ganzjährliche Reports weiter unten auf der Website

The Anti-Phishing Working Group (APWG) is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Zahlreiche Reports, Übersichten, etc. zu Phishing

APACS (Association for Payment Clearing Services) UK-Organisation für Banken, Kreditkarten-Unternehmen, etc. Kümmert sich auch um Sicherheitsfragen und gibt entsprechende Reports zu Problemen im Finanzbereich heraus.

Xamit Studien & Tests - speziell das jährliche Datenschutzbaromenter

Alle Berichte von MELANI (Melde- und Analysestelle Informationssicherung) zur Informationssicherung – Lage in der Schweiz und international

Studien des Honeynet zu Botnets und der Prolexic Zombie Report.

Die vierteljährlichen Webroot State of Spyware Reports (detaillierte Statistiken, leider nur nach Registrierung und kein Zugriff auf alte Ausgaben, einige sind beim Webmaster)

Stündlichen Überblick über Spam- und Malware-Aufkommnen mit Angabe von Quellen auf Senderbase.org

Hier ist die Österreichische Datenschutzbehörde (DSB). Dort kann jeder die im Datenschutzregister nachlesen, welche Anwendungen mit personen-bezogenen Daten die Firmen in Österreich registriert haben. Außerdem gibt es Links zu vielen hilfreichen Website rund um den Datenschutz. Und hier sind ihre Datenschutzberichte.

Das deutsche BSI bringt Lageberichte IT-Sicherheit heraus.

Ebenfalls vom BSI in Deutschland: eine Studie zur Trends zur Informationssicherheit.

Sehr gute Studien: die jährlichen Verizon Business Data Breach Investigations Reports. Verizon führt Forensics Analysen durch wenn ein Unternehmen meldet, dass ihnen Daten "verloren gingen". Vorteil ist, dass diese Studie nicht auf Selbsteinschätzungen von Sicherheitsbeauftragten beruht, sondern das wirkliche Leben wiederspiegelt. Allerdings betrifft die Untersuchung nur Fälle, die schlimm genug erschienen, Profis einzuschalten.

Zum gleichen Thema eine ganze Website, mit vielen Fakten, Reports, einer DB von Incidents zum Runterladen: DataLossDB der Open Security Foundation.

 

Magazine und Zeitschriften

(oft sind automatische Benachrichtigungen per E-Mail oder RSS möglich)

Heise Online EDV-Nachrichten und dort auch speziell heise.de/security

Recht empfehlenswert ist auch techrepublic.com, behandelt werden alle Arten von IT-Fragestellungen

Vom gleichen Verlag: ZDNet.com

SC Magazine, USA

Computerwelt in Österreich (leider sind viele Artikel kostenpflichtig)

Computerwoche Deutschland

 

Elektronische Newsletter

Das sind die Newsletter, die ich abonniert habe (Philipp Schaumann)

Auf jeden Fall: Bruce Schneiers Crypto-Gram Newsletter, vieles ist nicht so technisch wie der Name klingt ;-)

Aus D.: Secorvo Security News

Aus Ö.: ARGE Daten Infos zum Datenschutz (der wöchentliche Newsletter findet sich unter infodienst)

Auch aus Ö: Rainer Knyrim, Rechtsanwalt und Spezialist für Datenschutz- und IT-Recht (E-Mail mit der Bitte um den Newsletter zusenden, sehr lesenwert wenn man sich auch für die rechtlichen Aspekte interessiert)

 

Konsumententhemen

Neue Rubrik - derzeit nur Versicherungsschutz: eine deutsche Initiative junkmachine.com

 

Verschlüsselungssoftware

GnuPG, ein kompatibler, kostenfreier Ersatz für PGP, finanziert u.a. von der deutschen Bundesregierung . Hier der Link zum Programmdownload der Windowsversion von gpg4win.de

Deutsche Seite mit PGP-Anwendertips.

 

Juristisches, Gesetze

Alle Gesetzestexte in Österreich finden Sie im Rechtsinformationssystem des Bundeskanzleramtes (Abfrage am einfachsten über den Link zu Bundesrecht). Die deutschen Gesetze finden sich beim Justizministerium.

Das österreichische Datenschutzgesetz 2000, bzw. die jetzt bald auslaufende DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL. In Zukunft gilt nur noch die neue EU-Datenschutz-Regulation (in allen EU-Sprachen), gültig ab 25. Mai 2018

Empfehlenswert: Grundzüge der Europäischen Datenschutz-Grundverordnung Zusammengefasst im Newsletter DSB 2/2016 der Datenschutzbehörde in Wien. Auch sehr schöne graphische Zusammenfassung, evtl. Vorstand-geeignet ;-)

Umfangreiche Seite zu Data Protection Laws of the World

Umfangreiche Website von Franz Schmidbauer zum Thema Internet & Recht in Österreich, u.a. mit dem Text sehr vieler im IT-Bereich relevanter Gesetze und auch Kommentaren, z.B. zu den Cybercrime-Paragraphen im Strafgesetzbuch oder dem E-Commerce-Gesetz

rechtsprobleme.at von Gerhard Laga. Viele Materialien zu E-Commerce, IT-Sicherheit, Urheberrecht

infolaw.at der Abteilung für Informationsrecht und Immaterialgüterrecht in der WU Wien, Prof. Andreas Wiebe. Gute Links unter "Rechtsinformationen", z.B. zu Open Source Lizenzfragen, Software-Patenten, (siehe auch bei "Unterlagen der Vortragsreihe ..." und "Vorträge der Abteilungsmitarbeiter")

Für alle Betreiber einer Website!! Impressumpflicht bei Internet & Recht

Arbeiterkammer Wien zum Konsumentenschutz und Schutz im Internet

Internet-Ombudsmann, Kooperation von WKO, VKI und OIAT, Tipps Rund um das Thema Internet-Shopping in Österreich und Schlichtung von E-Commerce Streitfällen

Zum Gesamtinhaltsverzeichnis


Home

Philipp Schaumann, http://sicherheitskultur.at/

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.