| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Standardüberblick (aus dem Secorvo Newsletter)
------------------------------------------------------
Die deutsche BITKOM Organisation hat einen ultimativen Überblick über
Informationssicherheitsstandards erarbeitet und gibt auf 84 Seiten einen
systematischen Überblick über das schon etwas verwirrende Gebiet.
Der Text nennt sich Kompass der IT-Sicherheitsstandards Leitfaden
und Nachschlagewerk (neue Version 2008).
http://www.bitkom.org/de/publikationen/38337_40496.aspx
Auch sehr interessant ist ein ganz neues (2008) kostenloses
Open Source Grundschutz-Tool.
http://www.verinice.org/Downloads.48.0.html" target="_blank" class="bold"
Vom deutschen Innenministerium gibt es einen Text:
Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement
(Leitfaden für Unternehmen und Behörden).
http://www.bmi.bund.de/cln_028/nn_174256/Internet/Content/Broschueren/2008/Leitfaden__Schutz__kritischer__Infrastrukturen.htm
Auch hilfreich die Risk Management Series des US-Behörde FEMA
(Federal Emergency Management Agency, nicht rühmlich beim Wirbelsturm
über New Orleans, vielleicht geschrieben als Reaktion darauf).
http://www.fema.gov/library/viewRecord.do?id=2676
2. Was man aus den letzten Bankenskandalen lernen kann
--------------------------------------------------------------
Zu Liechtenstein habe ich nur wenig Informationen, aber es sieht so aus, als wären da sogar
zwei mal Daten "abhanden gekommen".
Die 2. CD betrifft angeblich Kundendaten der Liechtensteiner Landesbank (LLB)
http://derstandard.at/?url=/?id=3254858
da soll diesmal auch Erpressung im Spiel sein, recht interessant.
In Frankreich ist man mitteilsamer, die Societé Generale veröffentlicht sehr viele
Details ihrer Untersuchungen (was bestimmt ein kluger Schritt ist).
Lesenswert:
http://www.sp.socgen.com/sdp/sdp.nsf/V3ID/D22EA4F2E1FB3487C12573DD005BC223/$file/08005gb.pdf
http://www.sp.socgen.com/sdp/sdp.nsf/V3ID/6D44E7AEF3D68993C12573F700567904/$file/comiteSpecialFevrier08gb.pdf
(die URLs muss man vermutlich wieder zusammensetzen)
Hier ein recht guter Artikel zur IT-Relevanz:
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1296774,00.html
Und hier ein Punkt aus dem Plan der SG, wie solche Sachen vermieden werden sollen:
- Strengthening IT security through the development of strong identification
solutions (biometry), the acceleration of current structural plan for the management
of access security and targeted security audits
Man kann zwar darüber streiten, ob Biometrie das verhindert hätte, aber insgesamt
sind das ja Ziele, die jeder Sicherheitsbeauftragte auch gern als Aufgabenstellung
hätte.
3. Sehr lesenswerte ENISA Studie
---------------------------------------
Ross Anderson, Rainer Böhme, Richard Clayton, and Tyler Moore have
published a major report on security and economics:
"Security, Economics, and the Internal Market," published by the
European Network> and Information Security Agency (ENISA).
http://www.enisa.europa.eu/doc/pdf/report_sec_econ_&_int_mark_20080131.pdf
oder http://tinyurl.com/35ao58
Es geht in dieser Studie um Policy-Vorschläge für die EU-Komission, u.a. wird da über
neue Haftungskonzepte geschrieben, aber auch über die Problematik der Datensammlung
zu Sicherheitsereignissen, kritische Infrastruktur, etc. etc. Viel Material, noch mehr
Links im Anhang.
Ich bin schon lange ein Fan von Ross Anderson, hier mehr Links zu seinen Texten:
http://sicherheitskultur.at/haftung.htm#worm
(etwas weiter unten, hinter "Deworming ........")
Und: http://www.cl.cam.ac.uk/~rja14/econsec.html#Privacy
eine sehr interessante Sammlung von Artikeln zu Ökonomie, Privatsphäre und Anonymität
mit Hintergründen und Untersuchungen über das "Sich-abkaufen-lassen" von Anonymität.
4. Verlust an Privatsphäre durch die Social Network Sites
---------------------------------------------------------
Ein neuer Text von mir "Verlust an Privatsphäre durch die Social Network Sites"
http://sicherheitskultur.at/privacy_soc_networking.htm
Für alle CISOs und CSOs ist zumindest dieser Teil relevant:
http://sicherheitskultur.at/privacy_soc_networking.htm#indu
Hier geht es konkret im Xing.com und LinkedIn.com, wie diese Sites für
Industriespionage genutzt werden und was die Mitarbeiter ganz konkret beachten sollen,
wenn sie dort mitmachen.
5. P2P-Probleme für Unternehmen
------------------------------------
Hier die Fortsetzung zu der Geschichte mit dem MP3-Spieler und den Bankunterlagen
aus dem vorigen Newsletter:
http://sicherheitskultur.at/notizen_1_08.htm#dumm
Das ist kein Einzelfall, sondern bereits ein richtiger Erwerbszweig. :-(
6. Von der sicherheitskultur.at
-----------------------------------
Eine Analyse zum Storm Worm und seiner Entwicklung
http://sicherheitskultur.at/notizen_1_08.htm#storm
Dabei auch ein Hinweis auf ANUBIS - Analyze Unknown Binaries, ein hilfreicher
Dienst der TU Wien (mit Link)
Und ein klassischer Denkfehler bei Risikobetrachtungen:
http://sicherheitskultur.at/notizen_1_08.htm#mifare
Humor
-------
Nicht ganz aus dem Gebiet der Informationssicherheit, aber doch sehr lustig
(für meinen Geschmack):
"The Theory of Interstellar Trade," von Paul Krugman, geschrieben 1978
http://www.princeton.edu/~pkrugman/interstellar.pdf
It is chiefly concerned with the following question: how should interest
charges on goods in transit be computed when the goods travel at close
to the speed of light? This is a problem because the time taken in transit
will appear less to an observer traveling with the goods than to a stationary
observer. A solution is derived from economic theory, and two useless
but true theorems are proved.
Das Ganze weiterdenkend finde ich auch jede Menge Anwendung für die CSOs, etc.:
Wenn es um das ROI (return on investment) einer Investition in einem sehr
schnellen Raumschiff geht, welche Zeitbasis wird dann zugrunde gelegt,
die stationäre beim Start oder die bewegte im Objekt?
Und das Konzept des "Present Values" bei ROI-Berechnungen
bekommt durch einen relativistischen Ansatz eine ganz neue Komplexität.
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick