Decker Consulting GmbH

Management and Information Technology Solutions

prüfen, bewerten, optimieren -
Informationssicherheit und IT nach Mass

Decker Consulting GmbH aktuell - April 2008

Decker Consulting GmbH
 
 
 

Inhalt

 
 
 

Informationssicherheit - Prozesse, nicht Technik führen zum Erfolg

Der Diebstahl von sensibler Information erreichte im Jahr 2007 weltweit einen Rekord, wird doch geschätzt, dass insgesamt mehr als 167 Mio. Personendaten entwendet wurden, dreimal so viele wie im Jahr zuvor. Schaut man auf die Vorfälle der ersten drei Monate des Jahres 2008, scheint sich der Trend fortzusetzen:

  • März 2008: MTV Networks informiert 5,000 Mitarbeiter, dass ihre persönliche Daten teilweise mit Salärangaben aus dem Firmen-Netzwerk gestohlen wurden.
  • Februar 2008: Aus dem System der Hannaford Brothers Supermarkt-Kette in New England, USA, entwendeten Diebe 4.2 Millionen Kreditkarten-Nummern.
  • Februar 2008: Ehemalige Mitarbeiter des polnischen Militärgeheimdienstes kopierten illegal geheime Daten für rechtskonservative Politiker.
  • Januar 2008: Einem britischen Offizier der Royal Navy wurde sein Laptop mit persönlichen Daten von 600,000 Armee-Angehörigen und -Bewerbern gestohlen.
  • Januar 2008: Im Jahr 2007 gingen bei britische Krankenkassen in den Gesundheitszentren mehrere 100,000 Datensätze mit Sozialversicherungsnummern und persönlicher Krankengeschichten verloren.
  • Dezember 2007: In Grossbritannien gingen vertrauliche Daten von drei Millionen Führerschein-Anwärtern verloren.
  • Oktober 2007: Eine Sicherheitslücke bei eBay ermöglichte es, via Internet Daten von Mitgliedern auszulesen und damit täuschend echte ``eBay-Angebote'' zu versenden.
  • Oktober 2007: Ein Dieb entwendete ein Notebook der US-Modekette Gap, auf dem sich unverschlüsselte Daten von 800,000 Stellenbewerbern befanden.
  • September 2007: Ein Ex-Mitarbeiter von Pfizer stahl Informationen von mehr als 34,000 Kollegen, darunter Konto- und Kreditkartendaten.
  • August 2007: Ein Trojaner missbrauchte Zugangsdaten von Headhuntern auf das Karriere-Netzwerk Monster.com, um an rund 1.6 Mio. Datensätze von Arbeitssuchenden auf Jobbörsen zu gelangen.

Der bisher grösste Datendiebstahl der Geschichte begann jedoch bereits im Sommer 2006. Ausgerüstet mit einer Parabolantenne, einem Laptop und einer Streaming-Decoding-Software konnten die Datendiebe beim TJX-Supermarkt in Minnesota die Kommunikation zwischen den drahtlosen Barcodelesern für die Preiskontrolle und den Kassencomputern abhören und entziffern. Nach dem Stand der Ermittlungen wurden so weit mehr als die zunächst vermuteten 45 Mio. Kredit- und Scheckkartendaten gestohlen. Hinzu kommen 100,000de Personendaten aus Führerscheinen, Social-Security-Karten oder Militärausweisen.

Technisch gesehen sind Unternehmen im allgemeinen gut ausgestattet. Die organisatorischen Prozesse und Verfahren sowie der Faktor Mensch werden aber bei weitem zu wenig berücksichtigt. Denn die besten Technologien können Versäumnisse der eigenen Mitarbeiter oder Attacken über die menschliche Schiene, unter dem Begriff ``Social Engineering'' bekannt, nicht abwehren. Denn was nützt z.B. der beste technische Schutz eines Laptops, Mobiltelefons, PDAs oder Smartphones, wenn sein Benutzer mit dem Gerät achtlos umgeht und es liegen oder sich stehlen lässt?

Im Zentrum eines wirksamen Schutzes von kritischer Unternehmensinformation muss vielmehr ein kontinuierlicher Verbesserungsprozess stehen, der alle Mitarbeiter adäquat einbindet und an dem sich die Geschäftsleitung aktiv und glaubhaft beteiligt. Der Prozess steuert und überwacht diverse organisatorische und technische Massnahmen, z.B. die Sensibilisierung aller Mitarbeiter für die Risiken beim Umgang mit Information jeglicher Art. Entscheidend ist aber, dass diese Massnahmen dem Prozess untergeordnet sind und nicht im Vordergrund stehen, wie dies die zahlreichen, in der Regel ungeschulten Verkäufer von Software und Hardware zum Schutz vor Viren, Spam, unerlaubtem Zugriff, etc. täglich weismachen wollen, mit dem einzigen Ziel, ihre Produkte und Dienstleistungen um jeden Preis zu verkaufen.

Wie man es richtig macht, kann man z.B. den Standards ISO/IEC 27001 und ISO/IEC 20000 für ein Informationssicherheitsmanagementsystem und IT Service Management entnehmen. Und seriöse, von unabhängigen und renommierten Institutionen zertifizierte Trainer und Berater können ihnen helfen, sich mit den Standards vertraut zu machen und sie bei der massgeschneiderten Implementierung in Ihren Unternehmen unterstützen. Preiswerter und mit grösserer Wirksamkeit.

Dr. habil. Karsten M. Decker

 
 
 

Fakten und Zahlen

  • Europa überholt die USA beim Spam. Europa ist an den USA vorbei gezogen und hat sich einen Titel gesichert, den eigentlich keiner haben will. Mit 44 Prozent stammen die meisten Spam-Mails mittlerweile aus Europa. Beim Versand von Phishing-Mails führen die USA die Liste der Länder noch immer an. 42 Prozent der verwendeten IP-Adressen stammen aus den Staaten. Zehn Prozent waren Phishing-Seiten aus Russland, neun aus Frankreich und sieben aus Deutschland. Die Anzahl eigenständiger Phishing-Seiten ist um 9,4 Prozent gesunken. Die Zahl von Websites mit Phishing-Toolkits hat um 31 Prozent zugenommen.
    (Quelle: CIO.de, 25. März 2008)
  • Online-Überwachung von Mitarbeitern im Trend. Rund 85 Prozent aller britischen Unternehmen überwachen und protokollieren regelmässig die Onlineaktivitäten ihrer Mitarbeiter. Ausschlaggebend für die strengen Kontrollmassnahmen sei vor allem ein generell gesteigertes Gefahrenbewusstsein in den Reihen der Wirtschaftsunternehmen. 68 Prozent aller britischen Unternehmen unterhalten eigene Informationssicherheitsrichtlinien, viermal mehr als vor acht Jahren. Einerseits wolle man so versuchen, vertrauliche firmeninterne Informationen besser zu schützen, andererseits sei man aber auch um das eigene Image besorgt. Obwohl das Vertrauen in die eigenen Mitarbeiter in Grossbritannien nicht allzu gross zu sein scheint, erlauben immerhin 54 Prozent der britischen Unternehmen ihren Mitarbeitern den Fernzugriff auf das Firmensystem, 18 Prozent mehr als 2006.
    (Quelle: pressetext.deutschland, pte080329002, 29. März 2008)
  • Deutsche Unternehmen gefährden Kundendaten für Test- und Entwicklungszwecke. Gemäss einer Studie des Ponemon Institute greifen 78 Prozent der befragten deutschen Unternehmen für Anwendungstests und 70 Prozent für die Softwareentwicklung auf Live-Daten zurück. Diese entstammen dann in der Regel Kundendatensätzen (43 Prozent) oder Verbraucherlisten (31 Prozent) und können Adressen genauso beinhalten wie Kreditkartennummern und weitere sensitive Daten. Zwei Drittel der befragten Betriebe, die ihre Tests auslagern, geben sensible Kundeninformationen sogar an externe Dienstleister weiter. Dieser freizügige Umgang mit sensiblen Kundeninformationen lässt vermuten, dass kaum ein Unternehmen das Risiko wahrnimmt, dem es sich dadurch regelmässig aussetzt.
    (Quelle: Securitymanager.de, 21. April 2008)
 
 
 

Informationssicherheit und Outsourcing leicht gemacht

Für Sie gratis bereitgestellt: Schnelltests und vollständige Selbstbewertungsformulare zu den folgenden Themen:

Überzeugen Sie sich selbst vom praktischen Wert unserer Formulare.

 
 
 

White Papers

Alle White Papers sind kostenlos.

 
 
 

Jobs

Suchen Sie eine neue Herausforderung? Können Sie auf eine langjährige erfolgreiche Berufstätigkeit als Linienverantwortlicher zurückblicken? Möchten Sie nicht nur beraten, sondern die von Ihnen erarbeiteten Konzepte auch verantwortlich umsetzen?

Zur Erweiterung unseres Teams freier Mitarbeiter suchen wir erfahrene Fachspezialisten mit Flair für das Geschäft und grosser Sozialkompetenz in den folgenden Bereichen:

  • Informationssicherheit
  • IT Service Management
  • Internationales Projektmanagement
  • Projektassistenz
  • Public Relations und Event-Management

Bitte senden Sie Ihre Bewerbung an Dr. habil. Karsten M. Decker. Für Fragen steht Ihnen Karsten Decker auch unter der Telefon-Nr. +41 (41) 790-9080 zur Verfügung.

 
 
 

Impressum

Herausgeber: Decker Consulting GmbH, Birkenstrasse 49, CH-6343 Rotkreuz
Tel: +41 (41) 790-9080, Fax: +41 (41) 790-9082, E-Mail: info@mit-solutions.com

Copyright: Alle in diesem Newsletter erschienenen Beiträge sind urheberrechtlich geschützt.

Wenn Sie den Newsletter abbestellen möchten, senden Sie bitte eine E-Mail mit dem Betreff ``Stop Newsletter'' an info@mit-solutions.com.