Verschlüsselungsverfahren

Die Verschlüsselung von Informationen ist ein wesentlicher Bestandteil eines gelungenen Informationssicherheitskonzepts. Verschlüsselte Informationen, wie etwa personenbezogene Daten, stellen IT-sicherheitstechnisch einen Vor-, und gleichzeitig einen Nachteil dar. Vorteilhaft ist, dass Unbefugten die Erlangungen der geschützten Informationen erschwert oder unmöglich gemacht wird. Nachteilig ist hingegen, dass mit einer ernstzunehmenden Verschlüsselungstechnik eine ganze Reihe an technischen Fragen und Management-Problemen auftauchen. Grundlagen Daten (nicht nur personenbezogene Daten) liegen informationstechnisch in binärer Darstellungsform (Zahlenreihenfolge) vor. Diese Zahlenreihenfolge wird in dem Verschlüsselungsverfahren einem Algorithmus zu, der als Berechnungsergebnis die verschlüsselten Daten präsentiert. Durch die Umkehrung des Algorithmus können die Daten wieder entschlüsselt werden. Problematisch ist, …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe ein Kommentar

Hackerangriff auf Telefonanlage: Wer haftet und wer zahlt?

Wenn sich der Telefonanbieter bei Ihnen meldet und Ihnen mitteilt, dass innerhalb weniger Tage mehrere hundert Male eine Mobilfunknummer im Ausland angerufen wurde oder andere kostenpflichtige Rufnummern gewählt worden sind, bedeutet dies meistens eine Menge Ärger. Schnell entstehen Kosten im fünfstelligen Bereich und es stellt sich die Frage, wer in einem solchem Fall haftet. Aktuell musste einer unserer Mandanten erleben, wie ein Hackerangriff über die Sprachspeichersysteme erfolgte und Rückrufe in ein ausländisches Handynetz mit gebührenpflichtigen Nummern generiert wurden. Solche Fälle treten zunehmend auf. Nicht immer wird der Missbrauch vom Unternehmen selbst entdeckt, häufig meldet sich auch der Telekommunikationsanbieter oder …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 4,80 von 5
Loading...
Schreibe ein Kommentar

Datenschutzgerechte Protokollierung

Der Protokollierung des Betriebs von IT-Systemen kommt bezüglich der Informationssicherheit ein hoher Stellenwert zu. Nur wenn die Aktivitäten von Administratoren, Benutzern und Fremden im zu sichernden IT-System protokolliert, also festgehalten werden, kann die Informationssicherheit gewährleistet werden. Sowohl IT-Sicherheitsvorfälle der Vergangenheit, als auch noch laufende, wie auch zukünftige können mittels effektiver Protokollierung aufgeklärt, gemindert oder beseitigt werden. Definition von Protokollierung: Manuelle oder automatisierte Aufzeichnung von IT-System-Aktivitäten, aus denen sich rekonstruieren lässt, wer wann was veranlasst hat, wer wann worauf zugegriffen hat und wer wann welche Zugriffsrechte hatte. Protokollierung von Administrationstätigkeiten umfasst: Aufzeichnungen über modifizierte Systemparameter, Benutzereinrichtungen, Rechtevergabe, Installierung und Änderung …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 4,80 von 5
Loading...
Schreibe ein Kommentar

Benutzerverwaltung und Rechtevergabe

Personenbezogene Daten oder Daten an sich werden nicht nur durch IT-Sicherheit auf technischer Ebene, sondern auch auf organisatorisch-personeller Ebene geschützt. Die Benutzerverwaltung und Rechtevergabe innerhalb eines Unternehmens oder einer Behörde ist essentiell, um einen hohen Schutz der Daten zu gewährleisten. Wer darf was? Die Kernfrage lautet: Wer darf Zugang, Zutritt oder Zugriff auf welche Daten haben? Um diese Frage zu beantworten, ist es erforderlich, die Aufgaben und Funktionen der Unternehmens- oder Behördenmitarbeiter zu ermitteln. In einem zweiten Schritt werden den Aufgaben und Funktionen die Personen zugeordnet, die damit betraut werden. Es bedarf einer klaren Trennung zwischen unvereinbaren Aufgaben und …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 4,80 von 5
Loading...
Schreibe ein Kommentar

Authentifizierungsverfahren

Die Feststellung von Identitäten und deren Authentifizierung ist ein maßgeblicher Bestandteil jeder Informationssicherheit. Beispiel: Jede Zugangskontrolle in einem Unternehmen oder einer Behörde wird hinfällig, wenn nicht sichergestellt wird, wer im konkreten Fall von dem Zugangsrecht Gebrauch macht. Als Identifizierung wird die Funktion bezeichnet, in der ein Subjekt eine Identität angibt. Identifizierungsverfahren sind beispielsweise die Abfrage eines Nutzernamens in einem Login-Vorgang- Authentifizierung hingegen stellt sicher, ob die angegebene Identität zum Subjekt tatsächlich passt. Beispiele für ein Authentifizierungsverfahren sind die Abfrage eines Passworts zu einem Nutzernamen in einem Login-Vorgang. Denn nur derjenige, zu dem der Nutzername passt, hat gewöhnlicherweise das dazugehörige …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe ein Kommentar

BSI äußert sich zu Erpressersoftware (Ransomware)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Themenpapier zu Erpressersoftware/Ransomware veröffentlicht. Darin werden die aktuelle Bedrohungslage dargestellt und Hinweise zur Prävention und Reaktion erteilt. Hier geht es zur PDF des BSI. Erpressersoftware/Ransomware und der „Fall Dettelbach“ Ransomware wird vom BSI als Schadprogramm definiert, welches den Zugriff auf Daten und Systeme einschränkt und eine Freischaltung nur gegen Lösegeld anbietet. Ransomware kann auch als „digitale Erpressung“ bezeichnet werden. Erst kürzlich erregte der Fall einer mit Ransomware infizierten IT-Infrastruktur der Stadt Dettelbach mediales Aufsehen. Die Daten und Systeme der Stadt Dettelbach waren durch einen Trojaner gesperrt, welcher eine Lösegeldforderung …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Ein Kommentar vorhanden

Rechnungshöfe: Grundsatzpapier zum Informationssicherheitsmanagement

Die Rechnungshöfe des Bundes und der Länder haben ein Grundsatzpapier zum Informationssicherheitsmanagement veröffentlicht. Darin enthalten sind die Punkte “Informationssicherheitsmanagement”, “Organisation der Informationssicherheit, “Das CERT als wichtiges Element des operativen Informationssicherheitsmanagements” und “Erwartungen und Prüfungsmaßstäbe der Rechnungshöfe”. Hier geht es zur PDF: https://www.bundesrechnungshof.de/de/veroeffentlichungen/broschueren/dateien/informationssicherheitsmanagement-grundsatzpapier-der-rechnungshoefe-des-bundes-und-der-laender Wir fassen jeden der Punkte im Folgenden kurz zusammen. Punkt 1: Informationssicherheitsmanagement Einleitend wird im Grundsatzpapier der Rechnungshöfe festgestellt, dass die IT-Systeme der deutschen Regierung unter täglichen Cyberangriffen zu leiden haben. Diese Cyberangriffe reichen von einfacher Schadsoftware, die per E-Mail verschickt wird, bis hin zu “hochprofessionellen Angreifern” (wohl Geheimdienste anderer Länder). Es wird weiter festgestellt, dass ein …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe ein Kommentar

ISO 2700X

Der vorliegende Beitrag soll eine Einführung in die landläufig eher unbekannte ISO 2700X-Reihe und die Vorteile bieten, welche sich durch eine Zertifizierung nach diesem Standard ergeben. ISO-Normen Die International Organization for Standardization, kurz ISO, ist eine internationale Vereinigung von Normungsorganisationen. Sie erarbeitet internationale Normen in nahezu sämtlichen Bereichen des denkbaren Lebens. Eine Ausnahme bildet der Bereich der Elektrik und der Elektronik, da für diesen Bereich die Internationale elektrotechnische Kommission (IEC) zuständig ist. Ebenfalls ausgenommen ist der Bereich der Telekommunikation, welcher von der Internationale Fernmeldeunion (ITU) genormt wird. Das ISO, die IEC und die ITU bilden zusammen die World Standards …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe ein Kommentar

IT-Sicherheit für Mobilgeräte

Der Einsatz von privaten Mobilgeräten ist bei Unternehmen und zunehmend auch bei Behörden ein Thema. Zwar bestehen erhebliche rechtliche Bedenken, viele Unternehmensleiter und Behördenchefs können sich allerdings nicht mehr zu einem Verbot von Bring Your Own Device (BYOD) durchringen. Allerdings müssen mobile Endgeräte, auch private Mobilgeräte, in zwei Richtungen geschützt werden. 1. Es gibt zunehmend mobile Schadenprogramme. Die Firma Kaspersky identifiziert im zweiten Quartal 2015 rund 291.800 neue Schadenprogramme. Hier ist eine deutliche Steigerung zu beobachten. Insgesamt sind derzeit über 800.000 einzigartige mobile Schadenprogramme bekannt. Davon betreffen 99% das Betriebssystem Android. Hier müssen die IT-Verantwortlichen sowohl bei Unternehmen als …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe ein Kommentar

IT-Security ist Chefsache

Das am 1.5.1998 erlassene Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG), durch welches unter anderem auch das Aktiengesetz geändert worden ist, verpflichtet den Vorstand einer Aktiengesellschaft, geeignete Maßnahmen zu treffen, damit Entwicklungen, welche den Fortbestand des Unternehmens gefährden, früh erkannt werden. Kurz gesagt: Pflicht des Vorstands ist das Risiko-Management (vgl. § 91 II Aktiengesetz). Unter Risiko im engeren Sinne wird die Schadensgefahr verstanden. Sie lässt sich so ausdrücken: „Risiko = zu erwartender Schaden * Eintrittswahrscheinlichkeit“.[1]  Unter „Risiko-Management“ fallen alle erforderlichen systematischen Maßnahmen zur rechtzeitigen Erkennung, Bewertung und Bewältigung von potenziellen Risiken.[2] Dabei ist es gerade nicht ausreichend, ein Controlling-System …

Mehr lesen

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 1,00 von 5
Loading...
Schreibe ein Kommentar

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen