IT-SOLUTIONS

Weitere Magazine

Empfehlungen

Info

IT-SOLUTIONS Informationssicherheit Cyberkriminalität und Sicherheit im Internet – MELANI berichtet von Christian Spring Ende April 2010 erschien der zehnte Halbjahresbericht (Juli bis Dezember 2009) der Melde- und Analysestelle Informationssicherung (MELANI). Informationsdiebstahl, politisch und religiös motiviertes Hacking, Datenschutz und Anfragefl ut-Attacken gegen Firmen- und Regierungs-Webseiten sind die Schwerpunkte des Berichtes. Der Bericht zeigt unter anderem auf, dass die Cyberkriminalität ein globales Problem mit wachsender wirtschaftlicher und politischer Bedeutung darstellt, und dass die Sicherheitsvorkehrungen sehr zu wünschen übrig lassen. Informationsdiebstahl – Politik, Wirtschaft und Privatpersonen sind gleichermassen bedroht Wie MELANI berichtet, sind im zweiten Halbjahr 2009 mehrere Vorfälle von Informationsdiebstahl bekanntgeworden. Die Täter verschafften sich jeweils mittels Schadprogramme (Malware) oder Insiderzugriffe Zugang zu Computersystemen von Personen, Verwaltungen und Unternehmen und entwendeten dort Daten. Diese wurden in der Folge zum Verkauf angeboten, den Medien zugespielt oder für andere Zwecke missbraucht. Zu den prominentesten Fällen von Datenklau zählen die Angriffe auf Javier Solana und das Generalsekretariat der EU, die Entwendung und Publikation von E-Mails einzelner Klimaforscher kurz vor dem Klimagipfel in Kopenhagen auf einer Klima- © Andreas Morlok | PIXELIO 24 SKR 2/10 forscher-Webseite, der Diebstahl von Bankkundendaten der HSBC und die Angriffe auf Google, Adobe und weitere Unternehmen im Dezember 2009. Das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) war im Oktober 2009 Ziel einer professionellen Attacke durch eine gut versteckte Schadsoftware, mit welcher die Täterschaft gezielt Informationen beschaffen wollte. Das EDA musste deshalb sein IT-Netz mehrere Tage lang gegenüber dem Internet sperren, um den Datenfl uss nach aussen zu verhindern. Das Ausstellen von Visa und andere Dienste waren davon betroffen. Immer häufiger sind soziale Netzwerke wie Facebook, MySpace und LinkedIn Ziele von versuchtem oder vollendetem Datendiebstahl. Solche Peer-to-Peer-Netzwerke (P2P) enthalten gut vernetzte persönliche Daten und verschaffen den Datendieben häufi g auch Zugang zu vertraulichen bis hochgeheimen Geschäftsdaten, die durch unvorsichtige Nutzer abgerufen, weitergegeben oder schlecht geschützt präsentiert werden. Kritisch ist, dass sich auch Staaten unlauterer Methoden bedienen (müssen), um an für sie relevante Informationen zu gelangen. Dies ist unerfreulich, aber wohl unvermeidbar. Die Staaten sollten dabei zumindest die Verantwortung für die Informationsbeschaffung tragen und diese nicht an Dritte weitergegeben. Denn eine Privatisierung bzw. ein Outsourcing derselben fördert die Bildung eines Markts für illegal beschaffte Daten und Informationen. Politisch, religiös und anderweitig motiviertes Hacking – Proteste durch Verunstaltung von Webseiten Webseiten werden seit jeher durch Hacking sabotiert und verändert, dies ist kein neues Phänomen. Eine relativ neue Erscheinung ist dagegen, dass das Internet immer häufi ger als schnelles Ventil zum Protestieren dient. Webseiten werden zunehmend verunstaltet, um politischen, religiösen oder anders begründeten Protest kundzutun bzw. Propaganda zu betreiben. Verunstaltung (Defacement) tritt meist auf Startseiten in Erscheinung, die Saboteure nutzen Sicherheitslücken in Webservern, um diese zu verändern. In der Schweiz wurden zuletzt nach der Abstimmung über die Initiative zum Minarettbauverbot Webseiten in grösserem Ausmass verunstaltet, darunter zahlreiche von Ortssektionen verschiedener po-
litischer Lager. Seit dem 30. November 2009 wurden fast 5000 verunstaltete Seiten registriert. Ein Grossteil davon wurde durch Massenverunstaltungen, d.h. durch einzelne Angriffe auf mehrere Seiten, beschädigt. Die im Vorfeld des Klimagipfels vollzogene Veröffentlichung des E-Mail-Verkehrs von Klimaforschern auf einer Klimaforscher- Webseite in Form einer unverschlüsselten Archiv-Datei ist ebenfalls ein Akt der Verunstaltung. Ob dieser dazu diente, die Debatte um die globale Erwärmung aufzuheizen, oder ob lediglich einzelne Forscher diskreditiert werden sollten, ist nicht bekannt. Datensicherheit – persönliche und vertrauliche Daten gehören ausreichend geschützt Im digitalen Zeitalter sollte dem Schutz von persönlichen und vertraulichen Daten höchste Bedeutung beigemessen werden. Dennoch kommt es bei staatlichen und privaten Unternehmen gleichermassen wie bei Privatpersonen immer wieder zu ungewolltem Datenabfl uss. Gründe dafür sind in erster Linie Kostendruck, Unauf- merksamkeit, fehlende Mitarbeiterschulung, weitreichende Sicherungsprozesse und Falschkonfigurationen. Eine bedeutende Rolle spielen auch die wachsenden sozialen Netzwerke: über P2P-Software kann bei ungenügenden Sicherheitsvorkehrungen auf Dokumente zugegriffen werden. Deshalb sollte die Anwendung von P2P-Anwendungen in sensiblen Netzwerken durch technische Vorkehrungen unterbunden werden. Dies alleine hilft nichts, wenn Mitarbeitende auf ihren Privatcomputern Firmendaten bearbeiten, ohne dabei die nötige Vorsicht walten zu lassen. Massnahmen zur Datensicherung und zum Datenschutz verursachen immer Kosten, direkte, aber auch indirekte durch eine Verminderung der Arbeitseffizienz. Deshalb gilt es, für jeden Kontext eine Risikoabwägung und eine Kosten-Nutzen- Rechnung durchzuführen, um festlegen zu können, welche Informationen wie stark geschützt werden müssen. Dabei sollten Staaten und Private laut MELANI-Bericht als erstes Ziel haben, die «präventiven Massnahmen zur Stärkung und Wahrung der eigenen und inneren Sicherheit voranzutreiben». Holen Sie mit minimalem Aufwand das Maximum an Sicherheit heraus! Norman Endpoint Protection ist die umfassendste Sicherheitslösung zum proaktiven Schutz der Dateninfrastruktur von Unternehmen und Organisationen. �� Beinhaltet die Norman SandBox- und DNA-Matching-Technologien �� Erkennt und entfernt Malware �� Einfache Installation und Administration �� Zentralisiertes Management �� Automatische Updates Mehr Informationen unter www.norman.ch oder +41 (0)61 317 25 25 Informationssicherheit IT-SOLUTIONS Anfrage-Attacken gegen Firmen- und Regierungs-Webseiten Webseiten von Firmen und Regierungen werden oft und gerne durch DDoS-Attacken sabotiert. DDoS ist die Abkürzung von Distributed Denial of Service und bedeutet einen Angriff gegen eine Webseite mit der Absicht, deren Verfügbarkeit ausser Kraft zu setzen. Erreicht wird dies, indem Tausende von PCs gleichzeitig auf die Webseite zugreifen, bis diese nicht mehr aufgerufen werden kann. Durch einen Angriff werden meist weitere Webseiten, die sich auf dem gleichen Server befi nden, in Mitleidenschaft gezogen. Die Täterschaft nutzt DDoS-Attacken als Mittel, um Geld zu erpressen, politische Meinungen zu blockieren, Konkurrenzen auszuschalten und potentielle Kunden zu eigenen Angeboten umzuleiten. In der Schweiz wurden im Juni 2009 zwei DDoS-Angriffe gegen das Swisscom-Netz registriert. Die Täter wollten die Swisscom zwingen, einen unter anderem auf die Erotikbranche spezialisierten Internet-Anbieter vom Netz zu nehmen. Der enorm angestiegene Datenverkehr führte auch
Seite 1 und 2: Nummer 2/2010 17. Jahrgang Preis CH
Seite 3 und 4: IMPRESSUM Verlag, Redaktion und Anz
Seite 5 und 6: SuisseID 55 SuisseID: Steuererklär
Seite 7 und 8: Vorschau RealSite und blue & green
Seite 9 und 10: Langwierige Planungs- und Bewilligu
Seite 11 und 12: • Als Projektbeiträge für Ausla
Seite 13 und 14: www.mobi.ch Unsere Kunden erhalten
Seite 15 und 16: • Der Service wird bürgerfreundl
Seite 17 und 18: «Wir sind ausschliesslich dem Erfo
Seite 19 und 20: Mitarbeitender illegale Internetsei
Seite 21 und 22: Checkliste Nutzungsregelung • Zue
Seite 23: Christophe Darbellay Parteipräside
Seite 27 und 28: Effizientes und transparentes Patch
Seite 29 und 30: die klare und weit in die Zukunft b
Seite 31 und 32: SKR: Wie fl exibel sind die Systeme
Seite 33 und 34: Mitarbeiterschulung SKR: Viele Anwe
Seite 35 und 36: ten Einsatz von Open Source Softwar
Seite 37 und 38: Mit ESRlight bietet PostFinance ihr
Seite 39 und 40: Spatenstich für das modernste Rech
Seite 41 und 42: Swisscom erzielt PUE-Wert von 1,38
Seite 43 und 44: Bild 1: Hier ein Beispiel für eine
Seite 45 und 46: niederschlagen, verursachen Aspekte
Seite 47 und 48: MergePoint Infrastructure Explorer:
Seite 49 und 50: Es gibt kaum eine Branche, die nich
Seite 51 und 52: Geografi sche Informationssysteme -
Seite 53 und 54: Die Technologie MobiGIS basiert auf
Seite 55 und 56: SuisseID: Steuererklärung und Stra
Seite 57 und 58: «Die SuisseID ist quasi ein offi z
Seite 59 und 60: Die neue ID ermöglicht Bürgerinne
Seite 61 und 62: Interview mit Adrian Humbel, CEO Sw
Seite 63 und 64: verlängern. Im Jahr 2009 wurden in
Seite 65 und 66: Beat Siegrist und Raphael Mettan:

IT-SOLUTIONS

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?