[datensicherheit.de, 05.02.2015] Auch im Frühjahr 2015 sollen sich wieder hochkarätige Vortragende beim „Security Forum am FH OÖ Campus Hagenberg“ aktuellen Themen der IKT-Sicherheit widmen. Im Fokus der Veranstaltung, die am 22. und 23. April 2015 stattfindet, stehen neben Cyberwar und -attacken auch Aspekte des IT-Sicherheitsmanagements, rechtliche Herausforderungen und die Rolle des Menschen in der IT-Sicherheit. Ab sofort können sich Interessierte zur kostenpflichtigen Teilnahme online anmelden.

Beim „13. Security Forum“ in Hagenberg sind Experten aus Österreich und dem Ausland, unter anderem von der bekannten US-Militärakademie West Point, zu Gast. Sie werden zu aktuellen Management- und Technik-Aspekten der Sicherheit in der Informations- und Kommunikationstechnologie (IKT) referieren. Die Veranstaltung richtet sich in erster Linie an Sicherheitsverantwortliche, Sicherheitsforscher, IT-Leiter und IT-Administrator sowie Geschäftsführer von Klein- und Mittelunternehmen (KMU). Organisiert wird sie vom „Hagenberger Kreis zur Förderung der digitalen Sicherheit“, dem Studentenverein der FH-OÖ-Studiengänge „Sichere Informationssysteme“.

Den Auftakt bildet ein Vortrag mit Werner Preining von Interpool Security Ltd., der im Anschluss an die Eröffnungsrede zum Thema „Cybercrime“ referieren wird und dabei auch zum kritischen Denken und präventiven Agieren aufrufen will.
Als Keynote-Speaker am ersten Veranstaltungstag spricht Antonio Forzieri über Methoden zur Errichtung eines Verteidigungszentrums als Schwerpunkt von IT-Sicherheitsstrategien. Neben seiner Arbeit bei Symantec ist er auch Vortragender am „Politecnico de Milano“.
Am zweiten Veranstaltungstag wird Robert Clark vom Army Cyber Institute der United States Military Academy in West Point eine Keynote über „Cyberwars“ und deren Legalität halten. Dabei wird er vor allem auf Open-Source-Materialien eingehen und anhand von Beispielen den Ablauf einer Cyber-Offensive beschreiben.

Wie jedes Jahr gibt es zwei parallele Vortragsreihen, die wieder beide Veranstaltungstage umfassen.
Im Management-orientierten Teil werden die Faktoren Recht und Sicherheit der unter dem Stichwort „Bring your own device“ bekannten, zunehmend umfangreicheren Nutzung privater mobiler Geräte für dienstliche Zwecke gegenübergestellt. Weitere Themen sind das technische wie auch nicht-technische Einbrechen in Unternehmen, die Neuerungen im IT-Grundschutz sowie die rechtliche Versicherung gegen Cyber-Risiken. Im Mittelpunkt von weiteren Vorträgen stehen der Mensch als schwächstes Glied in der Abwehr und die nächste Stufe von Cyber Security, nämlich „Cyber Resilience“. Abgerundet wird dieser Track mit einem Beitrag zu „Social Engineering“, also der zwischenmenschlichen Beeinflussung, um an vertrauliche Daten zu gelangen.
In der zweiten, technischen, Vortragsreihe stehen z.B. die Auswirkungen des Computerwurms „Stuxnet“ und seine Folgen für die Industriesicherheit, sowie die Probleme, die Solid State Drives (kurz SSD) für die IT-Forensik darstellen, im Fokus. Dabei wird vor allem das Thema „Garbage Collection“ in Augenschein genommen. Weitere Themen sind IPMI-Sicherheit, das SSL-Dilemma, die Auswirkungen einer Schockwelle und die Sicherheit von kabellosen Heimautomationssystemen. Im Vortrag „Geeks are different“ wird zudem auf Probleme eingegangen, die entstehen können, wenn „Geeks“, also „Hacker“ bzw. „Nerds“, Security-Software für „Non-Geeks“ schreiben.

Foto: Hagenberger Kreis

„Security Forum“ am FH OÖ Campus Hagenberg mit hochkarätigen Beiträgen zur IKT-Sicherheit

Weitere Informationen zum Thema:

Security Forum 2015
22. – 23. April 2015

[datensicherheit.de, 11.12.2014] Die enisa veröffentlichte am 11. Dezember 2014 zwei Berichte:
– „Secure Procurement for Secure Electronic Communications“ (Sichere Beschaffung für sichere elektronische Kommunikation) behandelt die wachsende Abhängigkeit der Anbieter von IKT-Produkten sowie outgesourcten Diensten und analysiert die damit verbundenen Sicherheitsrisiken,
– „Secure ICT Procurement Guide for Electronic Communications Service Providers“ (Leitfaden zur sicheren IKT-Beschaffung für Anbieter elektronischer Kommunikationsdienste) soll als ein praktisches Instrument dienen, mit dem Anbieter die Sicherheitsrisiken im Umgang mit Dienstleistern und Lieferanten von IKT-Produkten und outgesourcten Diensten besser kontrollieren können.

Externe IKT-Produkte und outgesourcte Dienste als Hauptursache

Die Studie „Secure Procurement for Secure Electronic Communications“ folgt der letzten Ausgabe des Jahresvorfallberichts (Annual Incidents Report), der eine ausführliche Analyse der Vorfälle, die für schwere Ausfälle gesorgt haben, bietet.
Eine Hauptursache hierfür waren laut enisa externe IKT-Produkte und outgesourcte Dienste, insbesondere im Bereich Hardware- und Softwarefehler. Der Bericht 2014 ist das Ergebnis der Zusammenarbeit der enisa mit Anbietern und Dienstleistern mit dem Ziel, diese Probleme zu bekämpfen.

***Erkannte Schachstellen und Gefahrenquellen***
Zu den wichtigsten Themen, die von den Anbietern der elektronischen Kommunikationsdienste angesprochen wurden, gehören demnach:

• mangelnde Sicherheitskontrollen auf der Dienstleisterseite,
• Softwareschwachstellen bei IKT-Produkten oder -Diensten,
• Nichteinhaltung der vertraglich festgelegten Sicherheitsanforderungen,
• mangelnde Unterstützung von Dienstleistern bei Vorfällen,
• schwache Verhandlungsposition der Anbieter und
• Fehlen eines Rahmens oder von Leitlinien für Anbieter bei Beschaffung und Outsourcing.

Erhöhte Sensibilisierung für Sicherheitsrisiken bei der Beschaffung

In diesem Zusammenhang gibt die enisa allgemeine Empfehlungen ab und berücksichtigt die Ergebnisse einer von ihr unter Anbietern elektronischer Kommunikationsdienste und IKT-Dienstleistern durchgeführten Umfrage.
Die Empfehlungen an die Mitgliedstaaten beinhalten eine erhöhte Sensibilisierung im Hinblick auf die Sicherheitsrisiken im Zusammenhang mit der Beschaffung von IKT-Produkten und Outsourcing-Diensten.
Darüber hinaus wird Dienstleistern und Anbietern empfohlen, ein gemeinsames Konzept für die Festlegung von Sicherheitsanforderungen, den Austausch von Informationen zu Schwachstellen und Bedrohungen der Sicherheit und zur Begrenzung von Vorfällen zu entwickeln.

Sicherheitsrisiken im Gesamtrahmen der Sicherheitsanforderungen

Der enisa-Leitfaden „Secure ICT Procurement Guide for Electronic Communications Service Providers“ soll die Sicherheitsrisiken im Gesamtrahmen der Sicherheitsanforderungen abbilden, der von Dienstleistern bei der Beschaffung als Instrument verwendet werden kann, und beschäftigt sich mit Sicherheitsrisiken für Kerndienstleistungen in Kommunikationsnetzen und -diensten.

Praktisches Instrument für die Beschaffung

Der Jahresvorfallbericht zeige jedes Jahr, dass externe IKT-Produkte und „Managed Services“ die Hauptursache für die Ausfälle sind, erläutert Professor Udo Helmbrecht, Geschäftsführender Direktor der enisa. So könne ein einfacher Softwarefehler erhebliche Auswirkungen auf die Verfügbarkeit des Internets und von Telefonie-Diensten haben, und die Anbieter seien nicht immer in der Lage, diese Probleme rasch selbstständig zu lösen.
Der am 11. Dezember 2014 veröffentlichte enisa-Sicherheitsleitfaden für IKT-Beschaffung sei ein praktisches Instrument, mit dem Anbieter IKT-Produkte und -Dienste von Dienstleistern und Lieferanten mit den erforderlichen Sicherheitsanforderungen kaufen könnten, so Professor Helmbrecht.

Weitere Informationen zum Thema:

enisa
Secure ICT Procurement in Electronic Communications

[datensicherheit.de, 08.05.2014] Vieles spricht dafür, dass die Bedeutung mobiler Informations- und Kommunikationstechnologie (IKT) gegenüber jener auf Basis von Festnetzen noch wachsen wird. Kurz vor Eröffnung der inzwischen neunten Auflage der „M-Days“, nach eigenem Verständnis „die spezialisierte Fachmesse mit Kongress für das Mobile Business“, sollte unter Datensicherheits-Gesichtspunkten die Thematik kritisch-konstruktiv beleuchtet werden.

Datensicherheit: Vergesst nie die Verfügbarkeit!

Dass sich die Datensicherheit bzw. IT-Sicherheit im Wesentlichen auf die drei Säulen Verfügbarkeit, Integrität und Vertraulichkeit gründet, wird in der aufgeregten Diskussion um Hackerangriffe, Identitätsdiebstahl und Ausforschung häufig zu selektiv thematisiert. Es gilt indes, das Eine zu tun und das Andere nicht zu lassen. Sonst läuft man Gefahr, etwa angesichts der Meldungen über Verletzungen des Datenschutzes und angeheizt durch empörte Meinungsbekundungen in einschlägigen Foren zu fatalistischen Schlüssen zu kommen – etwa derart, dass es besser wäre, gar keine Weiterentwicklung der IKT mitzumachen.
In der Tat: Gäbe es keine Smartphones, gäbe es auch weniger Sicherheitsprobleme – aber eben auch keine Verfügbarkeit von seriösen und nützlichen Apps bzw. Diensten. Gehen wir also nachfolgend aus, dass sich die Verfügbarkeit mobiler IKT, die weit über die reine Telefonie hinausgeht, rasant weiterentwickeln wird.

Lesen bildet und schafft Sicherheit

Auf dem Webportal der Tech-Newmedia GmbH z.B. finden sich aktuelle Meldungen aus den Gebieten „Technik“ und „Shopping“ zu einer Vielzahl von Entwicklungen im Umfeld mobiler IKT, wobei auch Sicherheitsfragen behandelt werden – so wurde in einem Beitrag vom 16. April 2014, „Passwörter mit Bedacht auswählen“, betont, dass Passwörter mindestens acht Zeichen umfassen sollten, sowohl Zahlen als auch Buchstaben (gemischte Groß- und Kleinschreibung) sowie Sonderzeichen.
Wer im Baumarkt eine Bohrmaschine oder Stichsäge ersteht, sollte auch vor Inbetriebnahme die Sicherheitshinweise sorgsam lesen und umsetzen – es liegt letztlich am mündigen Nutzer von Instrumenten und Werkzeugen bzw. IKT-Hard- und -Software, Nutzen zu generieren oder Schaden zuzulassen. Im Falle der IKT gebietet es die rasante Fortentwicklung gerade im mobilen Bereich, sich immer wieder neu zu informieren – über aktuelle Publikationen und auch Informationsveranstaltungen.

Wertschöpfung und Teilhabe

Bei einer Gesamtbetrachtung der Sicherheitsfrage im Kontext mobiler IKT sollte man sich auch vor einer zu engen Betrachtungsweise hüten, denn es gibt große Regionen auf der Erde, so etwa in Afrika, welche noch lange keine verlässliche Infrastruktur an Festnetzen aufweisen werden, die aber über Provider mobiler Dienste Teilhabe an der globalen Kommunikation und Wertschöpfung auch für kleine Gewerbe finden. Wenn wir also in den Straßen und Verkehrsmitteln deutscher Großstädte gelangweilte, fast schon autistisch wirkende (Möchtergern-)Jugendliche mit dubiosen Apps spielen oder fragwürdige Meldungen verschicken sehen, deren „Inhalte“ zuweilen Paul Watzlawicks Axiom „Man kann nicht nicht kommunizieren!“ auf eine harte Probe stellen, so sollten wir eben nicht vergessen, dass es Millionen von Menschen in anderen Gegenden gibt, die über Mobilfunk ihr Leben im 21. Jahrhundert organisieren.
Spielerei (die es auch wohldosiert geben muss) ist nur eine Facette, Wertschöpfung, Autonomie und Teilhabe stehen dagegen für die ernsthaften Seiten mobiler IKT. Es war schon immer in der Menschheitsgeschichte so: Verlagern sich Wertschöpfung und Werte selbst mit Hilfe neuer Medien und Methoden auf eine andere Ebene, so sind Missbrauch, Kriminalität und staatliche Willkür auch nie weit – dass spricht aber nicht gegen das Medium und seine Nutzer, sondern gegen Trittbrettfahrer, Verbrecher und Überwachungswahnsinnige.
Dass wir heute mit großem Nachdruck verstärkt Datensicherheitsfragen im Kontext von Mobilfunk und -diensten diskutieren müssen, ist auch als ein Indiz für den Erfolg mobiler IKT zu sehen. Auch Behinderten, Arbeitslosen oder Älteren kann diese neue Entfaltungsmöglichkeiten und Chancen bieten. Blogs, Webzines oder -portale, kleine Webshops, Newsletter oder E-Mail-Marketing seien hier nur stichwortartig genannt. Egal welche dieser neuen Möglichkeiten zur Kommunikation oder zum Angebot von Waren und Dienstleistungen genutzt werden, bleibt das Streben nach Datensicherheit auf Basis einer hochqualitativen Verfügbarkeit (Funktionalität und Zuverlässigkeit) nebst Integrität (Schutz vor Verfälschung bzw. Zerstörung) und Vertraulichkeit (Schutz der Privatsphäre) eine ständige Aufgabe für uns alle.

[datensicherheit.de, 16.03.2013] „Cybercrime“ und „Cyber Security“ stehen von 17. bis 18. April 2013 im Fokus des „Security Forums“ an der FH Oberösterreich (FH OÖ) in Hagenberg, das bereits zum 11. Mal stattfindet und jährlich über 200 Besucher aus ganz Europa anlockt.
Experten aus Österreich und dem Ausland werden bei dieser hochkarätigen Veranstaltung über aktuelle Aspekte der Sicherheit in der Informations- und Kommunikationstechnologie (IKT) referieren. Sie widmen sich 2013 vor allem dem Thema „Cybercrime“ und „Cyber Security“ auf nationaler wie internationaler Ebene. Dazu ist Ing. Robert Ledinger vom österreichischen Bundeskanzleramt, der maßgeblich an der nationalen IKT-Sicherheitsstrategie beteiligt ist, als Keynote-Speaker zu Gast – er wird über die strategische Dimension von „Cyber Security“ in Österreich informieren.
Mohamed Chawki aus Ägypten wiederum wird Einblick in die Internetkriminaliät in seinem Heimatland und in Frankreich geben und vorstellen, welche Formen internationaler Kooperation nötig sind, um „Cybercrime“ einzudämmen. Weitere Referenten werden über die Preise und Vorgehensweisen im „Cybercrime“-Untergrund berichten und anhand von realen Beispielen die Präventionsmöglichkeiten erläutern.

Abbildung: FH OÖ, „Hagenberger Kreis“

„Security Forum 2013“ an der FH OÖ in Hagenberg Mitte April 2013

Des Weiteren werden Themen wie Sicherheit im medizinischen Bereich, rechtliche Risiken durch „Big Data“ und dem „Fuzz-Testing“ von Server-Applikationen behandelt. Neben Vorträgen stehen auch Workshops auf dem Programm, bei denen sowohl technisch als auch am Management interessierte Besucher auf ihre Kosten kommen sollen.
Diese Veranstaltung richtet sich vor allem an IT-Leiter, Sicherheitsverantwortliche sowie Geschäftsführer von Klein- und Mittelstandsunternehmen (KMU). Organisiert wird das „Security Forum“ vom „Hagenberger Kreis zur Förderung der digitalen Sicherheit“, einem Studentenverein, der 2002 von Studenten der FH-OÖ-Studiengänge „Sichere Informationssysteme“ gegründet wurde.

Security Forum 2013
Start: 17. April 2013, 9 Uhr
Ende: 18. April 2013, 16 Uhr
FH OÖ Fakultät für Informatik, Kommunikation und Medien, Softwarepark 11 in A-4232 Hagenberg
Kostenpflichtige Veranstaltung

Weitere Informationen zum Thema:

Security Forum 2013
17. – 18. April 2013 | Hagenberg im Mühlkreis

[datensicherheit.de, 01.03.2011] „Sicher, praktisch, sauber“ lauten die Anforderungen vom verbraucherzentrale Bundesverband (vzbv) an die Informations- und Kommunikationstechnologie:
Zum Auftakt der CeBIT 2011 mahnt der vzbv-Vorstand die Branche, nicht nur in neue Techniken, sondern vorrangig auch in das Vertrauen der Kunden zu investieren, denn stöbern, kommunizieren und sich unterhalten machten noch mehr Spaß, wenn man Anbietern und Diensten voll vertrauen könne. Wenn Dienstleistungen und Verbraucherdaten in virtuelle „Clouds“ verlagert würden, müssten sich die Verbraucher darauf verlassen können, dass Missbrauch ausgeschlossen ist und die Daten sicher sind.
Der vzbv fordert, dass Datensparsamkeit und Datensicherheit zum Grundprinzip der Technik-Entwicklung werden („privacy by design“). Dazu gehöre auch, dass Daten automatisch gelöscht würden, wenn sie nicht zwingend benötigt werden. Zudem müssten Voreinstellungen Standard werden, die Nutzer und Kinder schützten, informierten Nutzern aber die Wahlfreiheit ließen („privacy by default“). Zudem würde ein Audit Datenschutz und Datensicherheit zu einem zentralen marktrelevanten Faktor machen.
An die IT-Wirtschaft und die Politik stellt der vzbv die Anforderung, sicherzustellen, dass Geräte und Software miteinander kombinierbar sind (Interoperabilität). Hierfür müssten gesetzliche Rahmenbedingungen und technische Standards geschaffen werden. Das einheitliche Handy-Ladekabel zeige, wie es geht.
Noch immer fehlten gesetzliche Mindeststandards für den Energieverbrauch sowie eine transparente Kennzeichnung. Die Politik müsse endlich ambitionierte Energieeffizienzstandards für die gesamte Informations- und Kommunikationstechnologie (IKT) durchsetzen. Der Anteil der IKT-Geräte am elektrischen Energieverbrauch privater Haushalte liege bei etwa 12 Prozent.

Weitere Informationen zum Thema:

vzbv, 01.30.2011
Cebit: Neben Technik mehr in Vertrauen investieren / Verbraucher wollen sichere, praktische und saubere Angebote

Weiterentwicklung der Informationsgesellschaft und Energieversorgungsfrage eng verknüpft

[datensicherheit.de, 03.07.2009] Das Bundesministerium für Wirtschaft und Technologie (BMWi) hat eine beim „Fraunhofer-Institut für Zuverlässigkeit und Mikrointegration“ (IZM) und dem „Fraunhofer-Institut für System- und Innovationsforschung“ (ISI) in Auftrag gegebene Studie vorgestellt, die den zukünftigen Energiebedarf der Informations- und Kommunikationstechnologien (IKT) abschätzen sowie Schlussfolgerungen für die Entkopplung von IKT-Fortschritt und Elektrizitätsbedarf ableiten soll:
Die Ergebnisse der Studie mit dem Titel „Abschätzung des Energiebedarfs der weiteren Entwicklung der Informationsgesellschaft“ zeigen etwa, dass der IKT-bedingte Verbrauch elekrischer Energie in Deutschland bereits im Jahr 2007 etwa 55 Mrd. kWh betragen haben soll. Das seien 10,5 Prozent des gesamten Jahresstromverbrauchs. Das sei deutlich mehr als der globale Durchschnitt!
Wenn sich nichts ändert, sei laut Studie bis 2020 eine Steigerung um 20 Prozent auf jährlich 67 Mrd. kWh zu erwarten. Das liege vor allem an der Zunahme des Datenverkehrs, der Geräte und der damit einhergehenden Rechen- und Speicherleistung. Den größten Anteil am IKT-bedingten Strombedarf hätten die Anwendungen in privaten Haushalten mit knapp 60 Prozent.
Mit der Studie wurde u. a. auch ein wichtiger Beitrag zur Umsetzung des „Aktionsplan Green IT“ geleistet, der auf dem IT-Gipfel 2008 am 20.11.2008 in Darmstadt von Wirtschaft, Wissenschaft und Bundesregierung verabschiedet wurde.

Weitere Informationen zum Thema:

Bundesministerium für Wirtschaft und Technologie, 03.07.2009
IKT-Strombedarf liegt in Deutschland bei über zehn Prozent / Ergebnisse der Studie „Abschätzung des Energiebedarfs der weiteren Entwicklung der Informationsgesellschaft“ liegen vor

Bundesministerium für Wirtschaft und Technologie, 03.07.2009
Abschätzung des Energiebedarfs der weiteren Entwicklung der Informationsgesellschaft / Abschlussbericht an das Bundesministerium für Wirtschaft und Technologie