Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

Links zur Informationssicherheit

Eine Gemeinschaftsarbeit aller Autoren, zusammengestellt, immer wieder aktualisiert und kommentiert von Philipp Schaumann.

Diese Seite enthält mittlerweile bestimmt einige 'Broken-Links' (warum können die Website-Betreiber nicht dafür sorgen, dass bestehende Links weiter erhalten bleiben? -schluchz-

Link zum Gesamtinhaltsverzeichnis der 'Eisberg'-Bücher.

 

Allgemeines

Bericht des Europäischen Parlaments über Echelon (das Abhörsystem) - an anderer Stelle mehr zum Thema Abhören und abgehört werden

Hier gibt es Tipps auf klicksafe.de zu vielen wichtigen Themen, z.B. Chatten, Social Networking, etc., speziell auch für Jugendliche.

Mein Glossar der Informationssicherheit (ständig erweitert, jetzt > 180 Seiten, > 1,5 MB, PDF) bietet umfassende Definitionen, Hinweise und Erklärungen rund um die Informationssicherheit.

 

Hilfe bei der Erstellung eines Sicherheitskonzepts (Security Policy)

Bundesdeutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) Herausgeber des
IT-Grundschutzhandbuches, eines grundlegenden und umfassenden [erschlagenden] Werkes zur Informationssicherheit (vollständiger Text im Internet)

SANSs Beispiele von Security Policies (Achtung, US-amerikanischer Stil)

Österreichisches Sicherheitshandbuch des Chief Information Office -Stabstelle IKT- des Bundes in Österreich (vollständiger Text im Internet)

Eine wegen starker Industrienähe nicht ganz unumstrittene Initiative in Deutschland, die auf jeden Fall viele interessante Ressourcen bietet, u.a. Checklisten: "Deutschland sicher im Netz". Interessant auch Themen für Private wie Bezahlen im Netz, Emails & soziale Netze und Datensicherung und auch für Unternehmer wie Cloud Computing, Social Networks, Bring your own Device. Hier die Kritik (z.B. dass Optionen wie Mozilla oder Firefox nicht erwähnt werden und die Produkte der Mitglieder dafür recht prominent.

Hier auf dieser Website: viele Anregungen und Tipps zur Sicherheits-Policy

COBIT Organisation, die Organisation der IT-Revisoren

NIST (National Institute for Standards and Technology), die amerikanische Standardisierungsbehörde, in diesem Fall die Computer Security Division. Dies ist eine tolle Quelle für sehr gute kostenlose Handbücher. Empfohlen sind u.a.

    NIST 800-30 Risk Management Guide for Information Technology Systems,
    NIST 800-31 Intrusion Detection Systems (IDS)
    NIST 800-16 Security Training
    NIST 800-40 Patch Management
    NIST 800-48 Wireless Security
    NIST 800-50 Awareness Training

 

Angriff und Verteidigung

Qualys bietet mit SSL Labs einen kostenlosen Test, mit dem jeder prüfen kann, wie gut z.B. der Webserver seiner Bank konfiguriert ist.

Die private Mitglieder-Organisation OWASP hat sich der Verbesserung der Sicherheit von Web Applikationen verschrieben. Sie publizieren jedes Jahr ihre Top 10 der gefährlichsten Schwachstellen in Web-Anwendungen - hier die OWASP Top 10 2017. Leider nicht viel anders als die OWASP Top 10 2004 - das heißt, es wird nicht wirklich besser. Bei OWASP gibt es auch viele Materialien, z.B. Sicherheitsspickzettel für Entwickler, Top 10 für Entwickler, Application Security Verification Standard, Testing Guide und vieles mehr. Außerdem kann man dort Mitglied werden und in lokalen Ablegern aktiv mitmachen.

Hier gibt einige kostenlose online Scanner für Schwachstellen, Malware [und schlechte (Server)-Konfigurationen], z.B.:

  • Symantec Prüft auf Viren und Konfigurationsschwächen
  • Kostenloser Malware-Scan von Trend Micro
  • Kostenloser Malware-Scan von ESET
  • Kostenloser Malware-Scan von F-Secure
  • Sicherheitscheck des Datenschutzbeauftragten in Niedersachsen Diverse Tests von Browser und Rechner, in Zusammenarbeit mit dem heise Verlag
  • securityspace Man muss sich registrieren, dann gibt es einen sehr umfangreichen Scan gratis
  • qualys scant beliebige IP-Adressen, verschweigt in der kostenlosen Test-Version allerdings einige Details der gefundenen Sicherheitslücken. Qualys kann auch genutzt werden um Webserver zu testen
  • heise.de Browser-Check auf die Sicherheitseinstellungen des Webbrowser

Wie finde ich heraus, wer mich angreift oder scannt? Die Who Is-Datenbank, bei Eingabe einer IP-Adresse bekommt man als Antwort, wer diesen Adressbereich angemeldet hat. DNS Lookup gibt es hier, d.h. man gibt z.B. eine Domaine ein und bekommt die IP-Adresse, entweder des Webservers, oder des Mailservers, etc. Diese IP-Adresse kann ich dann z.B. in Whois verwenden. network-tools.com bietet alle diese Funktionalitäten auf einer Website, ebenso dnswatch.info

Die einfachste Möglichkeit bzgl. Schwachstellen und notwendigen Aktualisierungen von Programmen auf dem Laufenden zu bleiben, ist das Abonnieren der technischen Warnungen des Bürger-CERTs aus Deutschland (und für Windows-PCs hilft noch besser der kostenlose PSI Inspector von Secunia)

US-CERT bietet 4 Mailinglisten. Traditionell nur für EDV-Profis, jetzt mit 2 neuen Mailing-Listen speziell für den EDV-Laien, sei es ein Benutzer eines Heim-PCs oder ein Kleinunternehmer. Datenbank von Sicherheitslücken, automatische Benachrichtigung für neue Lücken per E-Mail (ein Muss für alle Systembetreuer!). Auf deutsch gibt es CERT.at. Beide Organisationen wenden sich hauptsächlich an Profis.

Auch auf Deutsch gibt es beim Bürger-CERT aus Deutschland Informationen die auf den IT-Laien zugeschnitten sind - der Newsletter ist zu empfehlen.

secunia.com, Security Advisories, viele Betriebssysteme abgedeckt.

Bei Problemen im Bereich der Wirtschaftskriminalität hilft in Österreich die ICC

Detailwissen über die Vorgehensweisen der Hacker und Cracker im Honeypot Projekt

 

Reports, Zahlen, Fakten, Studien

Aktuelle Reports und Studien zur Informationssicherheit

Einige dieser Links sind etwas älter, aber führen oft zu generischen Seiten, auf denen auch die aktuellen Reports zu finden sind.

In meinen monatlichen Newslettern verweise ich jeden Monat auf aktuelle Reports und Studien zur Informationssicherheit.

Die hier aufgelisteten Studien sind in der Regel allgemeiner Natur zum Thema Internet, Kriminalität, Schadsoftware, etc. Links zu spezielleren Studien sind überall auf der Website bei den jeweiligen Themen "versteckt".

Microsoft Auswertungen von MS Defender und MSRT Statistiken: Security Intelligence Report (SIR) (auch ältere Ausgaben, zu empfehlen auch die Ausgabe 2.H 2006 zu "Rogue Security Software", d.h. fälschliche Information über angebliche Infektion zum Verkauf von Software, die dann sogar bisweilen Trojaner installiert)

Sehr ausführliche CyberCrime Reports aus den USA: Internet Crime Complaint Center (IC3) Internet Fraud - Crime Report (jährlich). Erstellt von FBI und NW3C (National White Collar Crime Center), einer Organisation von US- und internetionalen Law Enforcement Stellen.

ENISA, (European Network Information and Security Agency) veröffentlicht immer wieder Studien und Hilfestellungen.

Thema Datenschutz: detaillierte Gegenüberstellung der Datenschutz-Regulierung in Europa, den USA, Japan, Südkorea, Malaysia und Indien im Auftrag der EU Kommission

McAfee Threat Center mit Threats Outlooks, diverse Whitepaper und Quarterly Threat reports

Symantec Internet Security Threat Report, jeweils die aktuellen Ausgaben, halbjährlich, auch regional, z.B. für EMEA (Europe + Middle East + Africa) und Archiv bis 2002 - leichtes Problem mit Over-Reporting, die Zahlen für das akuelle Quartal werden oft in späteren Ausgaben nach unten korrigiert.

Sophos nakedsecurity Blog und andere Materialien

Das Antiviren-Unternehmen Kaspersky veröffentlicht Berichte und Studien

PWC Economic Crime Surveys

Ernst & Young - Global Information Security Survey

IBM X-Force Research. Monatliche, halb- und ganzjährliche Reports, z.B. den IBM X-Force Threat Intelligence Index.

The Anti-Phishing Working Group (APWG) is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Zahlreiche Reports, Übersichten, etc. zu Phishing

Xamit Studien & Tests - speziell das jährliche Datenschutzbaromenter

Alle Berichte von MELANI (Melde- und Analysestelle Informationssicherung) zur Informationssicherung – Lage in der Schweiz und international

Studien des Honeynet zum Thema Botnets.

Überblick über Spam- und Malware-Aufkommnen mit Angabe von Quellen auf Talosintelligence.com.

Hier ist die Österreichische Datenschutzbehörde (DSB). Dort kann jeder die im Datenschutzregister nachlesen, welche Anwendungen mit personen-bezogenen Daten die Firmen in Österreich registriert haben. Außerdem gibt es Links zu vielen hilfreichen Website rund um den Datenschutz. Und hier sind ihre Datenschutzberichte und Newsletter.

Das deutsche BSI bringt Lageberichte IT-Sicherheit heraus.

Sehr gute Studien: die jährlichen Verizon Business Data Breach Investigations Reports. Verizon führt Forensics Analysen durch wenn ein Unternehmen meldet, dass ihnen Daten "verloren gingen". Vorteil ist, dass diese Studie nicht auf Selbsteinschätzungen von Sicherheitsbeauftragten beruht, sondern das wirkliche Leben wiederspiegelt. Allerdings betrifft die Untersuchung nur Fälle, die schlimm genug erschienen, Profis einzuschalten.

Hier eine Website mit vielen Cybersecurity institutes, associations, and events around the world.

 

Magazine und Zeitschriften

(oft sind automatische Benachrichtigungen per E-Mail oder RSS möglich)

Heise Online EDV-Nachrichten und dort auch speziell heise.de/security

Recht empfehlenswert ist auch techrepublic.com, behandelt werden alle Arten von IT-Fragestellungen

Vom gleichen Verlag: ZDNet.com

SC Magazine, USA

Computerwelt in Österreich (leider sind viele Artikel kostenpflichtig)

Computerwoche Deutschland

 

Elektronische Newsletter

Das sind die Newsletter, die ich abonniert habe (Philipp Schaumann)

Auf jeden Fall: Bruce Schneiers Crypto-Gram Newsletter, vieles ist nicht so technisch wie der Name klingt ;-)

Aus D.: Secorvo Security News

Aus Ö.: ARGE Daten Infos zum Datenschutz (der wöchentliche Newsletter findet sich unter infodienst)

Auch aus Ö: Rainer Knyrim, Rechtsanwalt und Spezialist für Datenschutz- und IT-Recht (lesenswerter Newsletter zu Datenschutz, eCommerce, IT-Recht, Arbeitsverfassungsrecht und Vertragsrecht.)

 

Verschlüsselungssoftware

GnuPG, ein kompatibler, kostenfreier Ersatz für PGP, finanziert u.a. von der deutschen Bundesregierung . Hier der Link zum Programmdownload der Windowsversion von gpg4win.de

Deutsche Seite mit PGP-Anwendertips.

 

Juristisches, Gesetze

Alle Gesetzestexte in Österreich finden Sie im Rechtsinformationssystem des Bundeskanzleramtes (Abfrage am einfachsten über den Link zu Bundesrecht). Die deutschen Gesetze finden sich beim Justizministerium.

Das österreichische Datenschutzgesetz 2000, bzw. die jetzt bald auslaufende DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL. In Zukunft gilt nur noch die neue EU-Datenschutz-Regulation (in allen EU-Sprachen), gültig ab 25. Mai 2018

Umfangreiche Seite zu Data Protection Laws of the World

Umfangreiche Website von Franz Schmidbauer zum Thema Internet & Recht in Österreich, u.a. mit dem Text sehr vieler im IT-Bereich relevanter Gesetze und auch Kommentaren, z.B. zu den Cybercrime-Paragraphen im Strafgesetzbuch oder dem E-Commerce-Gesetz

rechtsprobleme.at von Gerhard Laga. Viele Materialien zu E-Commerce, IT-Sicherheit, Urheberrecht

infolaw.at der Abteilung für Informationsrecht und Immaterialgüterrecht in der WU Wien, Prof. Andreas Wiebe. Gute Links unter "Rechtsinformationen", z.B. zu Open Source Lizenzfragen, Software-Patenten, (siehe auch bei "Unterlagen der Vortragsreihe ..." und "Vorträge der Abteilungsmitarbeiter")

Für alle Betreiber einer Website!! Impressumpflicht bei Internet & Recht

Arbeiterkammer Wien zum Konsumentenschutz und Schutz im Internet

Internet-Ombudsmann, Kooperation von WKO, VKI und OIAT, Tipps Rund um das Thema Internet-Shopping in Österreich und Schlichtung von E-Commerce Streitfällen

Zum Gesamtinhaltsverzeichnis


Home

Philipp Schaumann, http://sicherheitskultur.at/

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.