 |
| Die Bücher dieser Reihe gibt es über eisberg:group (Publikationen anklicken) |
|
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
Links zur Informationssicherheit
Eine Gemeinschaftsarbeit aller Autoren, zusammengestellt, immer wieder aktualisiert und kommentiert von Philipp Schaumann.
Link zum Gesamtinhaltsverzeichnis.
Allgemeines
Bericht des Europäischen Parlaments über Echelon (das Abhörsystem)
Hier gibt es Tipps auf klicksafe.de zu vielen wichtigen Themen, z.B. Chatten, Social Networking, etc., speziell auch für Jugendliche.
Mein Glossar der Informationssicherheit (ständig erweitert, jetzt > 100 Seiten, > 1MB, PDF) bietet umfassende Definitionen, Hinweise und Erklärungen rund um die Informationssicherheit.
Ein sehr interessantes Forum zu Fragen der Datenrettung - was tun, wenn die Daten verschwunden sind? www.wannago.de/
Hilfe bei der Erstellung eines Sicherheitskonzepts (Security Policy)
Bundesdeutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) Herausgeber des
IT-Grundschutzhandbuches, eines grundlegenden und umfassenden [erschlagenden] Werkes zur Informationssicherheit (vollständiger Text im Internet)
SANSs Beispiele von Security Policies (Achtung, US-amerikanischer Stil)
Österreichisches Sicherheitshandbuch des Chief Information Office -Stabstelle IKT- des Bundes in Österreich (vollständiger Text im Internet)
Eine wegen starker Industrienähe nicht ganz unumstrittene Initiative in Deutschland, die auf jeden Fall viele interessante Ressourcen bietet, u.a. Checklisten: "Deutschland sicher im Netz". Interessant auch die Anleitung für sicheres Programmieren. Hier die Kritik (z.B. dass Optionen wie Mozilla oder Firefox nicht erwähnt werden und die Produkte der Mitglieder dafür recht prominent.
Hier auf dieser Website: viele Anregungen und Tipps zur Sicherheits-Policy
COBIT Organisation, die Organisation der IT-Revisoren
Vergleich verschiedener Best Practise Dokumente auf dieser Website
IT Security Cookbook (englisch-sprachige gute Vorlage für Sicherheitspolicies eines Beraters aus der Schweiz)
NIST (National Institute for Standards and Technology), die amerikanische Standardisierungsbehörde, in diesem Fall die Computer Security Division. Dies ist eine tolle Quelle für sehr gute kostenlose Handbücher. Empfohlen sind u.a.
NIST 800-30 Risk Management Guide for Information Technology Systems,
NIST 800-31 Intrusion Detection Systems (IDS)
NIST 800-16 Security Training
NIST 800-40 Patch Management
NIST 800-48 Wireless Security
NIST 800-50 Awareness Training
Angriff und Verteidigung
Hier gibt einige kostenlose online Scanner für Schwachstellen und schlechte Konfigurationen, z.B.:
security-check.ch scannt den Rechner des Anfragenden, führt spezielle Browserchecks durch und prüft auf eine Reihe von speziellen Angriffen. Und ist dabei recht leicht verständlich verständlich.
Symantec Prüft auf Viren und Konfigurationsschwächen
Sicherheitscheck des Datenschutzbeauftragten in Niedersachsen Diverse Tests von Browser und Rechner, in Zusammenarbeit mit dem heise Verlag
linux-sec.net basiert auf nmap und man kann in Grenzen eigene Optionen angeben.
securityspace Man muss sich registrieren, dann gibt es einen sehr umfangreichen Scan gratis
qualys scant beliebige IP-Adressen, verschweigt in der kostenlosen Test-Version allerdings einige Details der gefundenen Sicherheitslücken. Qualys kann auch genutzt werden um Webserver zu testen
-
heise.de Browser-Check auf die Sicherheitseinstellungen des Webbrowser
Wie finde ich heraus, wer mich angreift oder scannt? Die Who Is-Datenbank, bei Eingabe einer IP-Adresse bekommt man als Antwort, wer diesen Adressbereich angemeldet hat. DNS Lookup gibt es hier, d.h. man gibt z.B. eine Domaine ein und bekommt die IP-Adresse, entweder des Webservers, oder des Mailservers, etc. Diese IP-Adresse kann ich dann z.B. in Whois verwenden. network-tools.com bietet alle diese Funktionalitäten auf einer Website, ebenso dnswatch.info
Die einfachste Möglichkeit bzgl. Schwachstellen und notwendigen Aktualisierungen von Programmen auf dem Laufenden zu bleiben, ist das Abonnieren der technischen Warnungen des Bürger-CERTs aus Deutschland
CERT, jetzt etwas umstrukturiert und umbenannt in US-CERT, bietet 4 Mailinglisten. Traditionell nur für EDV-Profis, jetzt mit 2 neuen Mailing-Listen speziell für den EDV-Laien, sei es ein Benutzer eines Heim-PCs oder ein Kleinunternehmer. Datenbank von Sicherheitslücken, automatische Benachrichtigung für neue Lücken per E-Mail (ein Muss für alle Systembetreuer!).
Das ganze auf Deutsch gibt es beim Bürger-CERT aus Deutschland.
secunia.com, Security Advisories, viele Betriebssysteme abgedeckt.
Computer Incident Advisory Capability CIAC des US-Dep. of Energy DOE (Sicherheitslücken, Viren, Hoaxes, Tools, etc.)
Bei Problemen im Bereich der Wirtschaftskriminalität hilft in Österreich die ICC
Sehr gute Tutorials, nicht nur zum Thema Firewall (technisch)
Detailwissen über die Vorgehensweisen der Hacker und Cracker im Honeypot Projekt
Für alle die glauben, dass Wireless LAN kein Sicherheitsrisiko darstellt, hier ein paar sehr interessante Karten von österreichischen Städten bei netagent.at. Eine große Zahl offener WLANs sind eingezeichnet. Auch zu WLAN: WEP knacken in weniger als 1 Minute
Reports, Zahlen, Fakten, Studien
Die hier aufgelisteten Studien sind in der Regel allgemeiner Natur zum Thema Internet, Kriminalität, Schadsoftware, etc. Links zu spezielleren Studien sind überall auf der Website bei den jeweiligen Themen "versteckt".
Microsoft Auswertungen von MS Defender und MSRT Statistiken: Security Intelligence Report (SIR) (auch ältere Ausgaben, zu empfehlen auch die Ausgabe 2.H 2006 zu "Rogue Security Software", d.h. fälschliche Information über angebliche Infektion zum Verkauf von Software, die dann sogar bisweilen Trojaner installiert)
Sehr ausführliche CyberCrime Reports aus den USA: Internet Crime Complaint Center (IC3) Internet Fraud - Crime Report (jährlich). Erstellt von FBI und NW3C (National White Collar Crime Center), einer Organisation von US- und internetionalen Law Enforcement Stellen.
ENISA Position Paper No. 3 - Botnets - The Silent Threat, (European Network Information and Security Agency) viele aktuelle (2007) Zahlen zu Botnets und internet-basierter Kriminalität
Noch mal ENISA: Security Economics and the Internal Market (pdf), Autor u.a. Ross Anderson. Die Studie macht im Auftrag der EU Regulierungsvorschläge für eine bessere Informationssicherheit auf der Basis der Thesen von Ross Anderson (siehe Deworming the Internet, weiter nach unten scrollen). Auf den Seiten 28 - 34 recht gute Beschreibung der methodischen Probleme vieler der hier gelisteten Reports
Von der Georgia Institute of Technology der Report Emerging Cyber Threats pdf), der Versuch eines Ausblicks auf die Zukunft (Datendiebstahl als Trend, auch von Handys, noch mehr Social Engineering, besseres Targetting von Spam auf Grund der gestohlenen Daten)
Finjan Malicious Page of the Month. Das ist keine "böse Seite" sondern die Sicherheitsfirma Finjan. Eigentlich ist dies Werbung für ihre spezielle Scan-Technologie, aber mal sie geben interessante reale Beispiele von web-basierten Angriffen.
2008 Studie der Industrie- und Handelskammer (IHK) gemeinsam mit dem Landeskriminalamt (LKA) Schleswig-Holstein (in D.) zu Computer-Kriminalität in Schleswig-Holstein (PDF). Daten auf Grund einer Umfrage, daher auch Informationen über die Dunkelziffer
Thema Datenschutz: detaillierte Gegenüberstellung der Datenschutz-Regulierung in Europa, den USA, Japan, Südkorea, Malaysia und Indien im Auftrag der EU Kommission
McAfee Virtuelle Kriminologie, Cybercrime jeweils die aktuelle Ausgabe, viele diverse Whitepaper und Virtual Criminology Report (2005, 2006 und 2007 bei mir)
Symantec Internet Security Threat Report, jeweils die aktuellen Ausgaben, halbjährlich, auch regional, z.B. für EMEA (Europe + Middle East + Africa) und Archiv bis 2002 - leichtes Problem mit Over-Reporting, die Zahlen für das akuelle Quartal werden oft in späteren Ausgaben nach unten korrigiert.
Sophos threat report Jan 09 (pdf) und andere Materialien
Das Antiviren-Unternehmen Kaspersky veröffentlicht Berichte und Studien in seinem "Lesesaal"
Computer Security Institute CSI Survey 2007 (jährlicher Computer Crime and Security Survey) auf Grund von Fragebogen u.a. an die Mitglieder, zumeist über Jahre gleichbleibend, daher vergleichbar. Computer Security Institute (US-Organisation von Information Security Professionals)
PWC Economic Crime Survey (Link zu 2007, pdf, sehr umfangreiches Statistikmaterial, gute Analyse auch zu Korruption), Ausgabe 2005 und 2003, auch Publikationen zur Wirtschaftskriminalität und für PWC-Studie "Wirtschaftskriminalität 2011"
Ernst & Young - 2006 Global Information Security Survey, 2007 Global Information Security Survey
Studie zum Russian Business Network (RBN)
IBM Internet Security Systems (ISS) X-Force Research and Development Team. Monatliche, halb- und ganzjährliche Reports weiter unten auf der Website
The Anti-Phishing Working Group (APWG) is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Zahlreiche Reports, Übersichten, etc. zu Phishing
APACS (Association for Payment Clearing Services) UK-Organisation für Banken, Kreditkarten-Unternehmen, etc. Kümmert sich auch um Sicherheitsfragen und gibt entsprechende Reports zu Problemen im Finanzbereich heraus.
Studie von Xamit zu Daten als Rohstoff für die organisierte Kriminalität? (2007) Lange Liste von dokumentierten Vorfällen von Sicherheitsverletzungen
Alle Berichte von MELANI (Melde- und Analysestelle Informationssicherung) zur Informationssicherung – Lage in der Schweiz und international
Studien des Honeynet zu Botnets und der Prolexic Zombie Report.
Die vierteljährlichen Webroot State of Spyware Reports (detaillierte Statistiken, leider nur nach Registrierung und kein Zugriff auf alte Ausgaben, einige sind beim Webmaster)
Stündlichen Überblick über Spam- und Malware-Aufkommnen mit Angabe von Quellen auf Senderbase.org, betrieben von Ironport.com. Deren Trend Report 2008, zusammen mit Cisco, viele Details über "Storm" und MPack (leider auch nur nach Registrierung erhältlich)
Finjan veröffentlicht vierteljährliche Web Security Trends Reports und andere interessante Whitepaper.
Der englische Anbieter für Email-Scanning auf Schadsoftware MessageLabs veröffentlicht monatliche MessageLabs Intelligence mit ihren Schadsoftware-Statistiken, z.B. Report April 2008 (pdf)
Hier ist die Österreichische Datenschutzkomission (DSK). Und hier sind ihre Datenschutzberichte, der letzte aus 2009 (veröffentlicht im August 2010).
Das deutsche BSI bringt vierteljährliche Lageberichte IT-Sicherheit heraus. Der Lagebericht 2008 ist der aktuellste.
Ebenfalls vom BSI in Deutschland: eine Studie zur Trends zur Informationssicherheit über 2010 hinaus. (Studie als PDF).
Eine Studie der UK-Regierung zu Security Breaches (2008), Management Summary Security Breaches
Eine sehr gute Studie: Verizon Business Data Breach Investigations Report. Verizon führt Forensics Analysen durch, wenn ein Unternehmen meldet, dass ihnen Daten "verloren gingen". Sie haben die Statistiken der letzten vier Jahre in einer sehr interessanten Studie zusammengefasst. Vorteil ist, dass diese Studie nicht auf Selbsteinschätzungen von Sicherheitsbeauftragten beruht, sondern das wirkliche Leben wiederspiegelt. Allerdings betrifft die Untersuchung nur Fälle, die schlimm genug erschienen, Profis einzuschalten.
Zum gleichen Thema eine ganze Website, mit vielen Fakten, Reports, einer DB von Incidents zum Runterladen: DataLossDB der Open Security Foundation.
Studie zum US-Breach Notification Law (pdf). Dieses Gesetz trifft nur für Teile der USA zu, zeigt aber die Auswirkungen, die entstehen, wenn bei der Verletzung von Vertraulichkeit Kosten für die Unternehmen oder Behörden entstehen. Auch idanalytics.com - NATIONAL DATA BREACH ANALYSIS 2005
PricewaterhouseCoopers on behalf of the UK Department of Business, Enterprise and Regulatory Reform (BERR): Information Security Breaches Survey 2008 - Dort finden sich auch zusätzliche fact sheets und die 2002 und 2004 Berichte.
CIO Magazine - Global State of Information Security 2005
CSO MAGAZINE 2005 E-CRIME WATCH SURVEY, 2006 E-CRIME WATCH SURVEY, 2007 E-CRIME WATCH SURVEY
PONEMON INSTITUTE, SURVEY: CONFIDENTIAL DATA AT RISK, 16 (2006), 2007 ANNUAL STUDY: U.S. ENTERPRISE ENCRYPTION TRENDS, 2008 National Survey on Access Governance
FaceTime Studien zur Nutzung von "Greynets" im Unternehmen, d.h. Messaging, Filesharing, etc., sehr oft zu privaten Zwecken. Greynet Research Study 2007, Greynet Research Study 2006, Greynet Research Study 2005
Magazine und Zeitschriften
(oft sind automatische Benachrichtigungen per E-Mail oder RSS möglich)
Heise Online EDV-Nachrichten und dort auch speziell heise.de/security
Recht empfehlenswert ist auch techrepublic.com, behandelt werden alle Arten von IT-Fragestellungen, bis hin zu Personalproblemen, für mich interessant vor allem Security Themen, die ich über einige security-orientierte Maillists beziehe und von der ich viele Informationen berücksichtige
Vom gleichen Verlag: ZDNet.com
SC Magazine, USA
IT-Security, in deutsch
Computerwelt in Österreich (leider sind viele Artikel kostenpflichtig)
Computerwoche Deutschland
Elektronische Newsletter
Das sind die Newsletter, die ich abonniert habe (Philipp Schaumann)
Auf jeden Fall: Bruce Schneiers Crypto-Gram Newsletter, vieles ist nicht so technisch wie der Name klingt ;-)
Aus D.: Secorvo Security News
Aus Ö.: ARGE Daten Infos zum Datenschutz (der wöchentliche Newsletter findet sich unter infodienst)
Auch aus Ö: Rainer Knyrim, Rechtsanwalt und Spezialist für Datenschutz- und IT-Recht (E-Mail mit der Bitte um den Newsletter zusenden, sehr lesenwert wenn man sich auch für die rechtlichen Aspekte interessiert)
Wieder aus D: buerger-cert.de
Konsumententhemen
Neue Rubrik - derzeit nur Versicherungsschutz: eine deutsche Initiative junkmachine.com
Verschlüsselungssoftware
Interessante deutschsprachige Linksammlung zu PGP und GnuPG (Verschlüsselungssoftware)
PGP, der Anbieter der kommerziellen Version von PGP für Firmeneinsatz (wo es jetzt auch die kostenlose Privatlizenz gibt - gleicher Programmcode, nach Ablauf einer Probefrist ohne Lizenzierung leicht eingeschränkte Funktionalität)
GnuPG, ein kompatibler, kostenfreier Ersatz für PGP, finanziert u.a. von der deutschen Bundesregierung . Hier der Link zum Programmdownload der Windowsversion von gpg4win.de
Deutsche Seite mit Links und Schulungsvideos zu PGP oder auch hier
Kostenlose Festplattenverschlüsselung, auch für betriebliche Nutzung, von CE-Infosys
Juristisches, Gesetze
Alle Gesetzestexte in Österreich finden Sie im Rechtsinformationssystem des Bundeskanzleramtes (Abfrage am einfachsten über den Link zu Bundesrecht). Die deutschen Gesetze finden sich beim Justizministerium.
Das österreichische Datenschutzgesetz 2000
Registrierung der Verarbeitung von personenbezogenen Daten im Datenverarbeitungsregister und auch viele andere Informationen zum Thema Datenschutz (inkl. einer Mailinglist) bei der Datenschutzkomission in Österreich (auch Rechtsquellen und Musterverträge)
Umfangreiche Website von Franz Schmidbauer zum Thema Internet & Recht in Österreich, u.a. mit dem Text sehr vieler im IT-Bereich relevanter Gesetze und auch Kommentaren, z.B. zu den Cybercrime-Paragraphen im Strafgesetzbuch oder dem E-Commerce-Gesetz
rechtsprobleme.at von Gerhard Laga. Viele Materialien zu E-Commerce, IT-Sicherheit, Urheberrecht
infolaw.at der Abteilung für Informationsrecht und Immaterialgüterrecht in der WU Wien, Prof. Andreas Wiebe. Gute Links unter "Rechtsinformationen", z.B. zu Open Source Lizenzfragen, Software-Patenten, (siehe auch bei "Unterlagen der Vortragsreihe ..." und "Vorträge der Abteilungsmitarbeiter")
ARGE Daten in Österreich Privacy Service (Datenschutz als Schwerpunkt)
Für alle Betreiber einer Website!! Informationen zur Informationspflicht lt. § 5 Abs. 1 E-Commerce-Gesetz in Österreich, mit Beispielantwort gegen sog. Abmahner - zum gleichen Thema auch Impressumpflicht bei Internet & Recht
BSA (Business Software Association) (Anti-Software-Piraterie)
Notariatskammer in Österreich, mit Linkseite
Arbeiterkammer Wien zum Datenschutz
Firmenbuchabfrage Online in Österreich
Internet-Ombudsmann, Kooperation von WKO, VKI und OIAT, Tipps Rund um das Thema Internet-Shopping in Österreich und Schlichtung von E-Commerce Streitfällen
Recht für e-Commerce-Manager von Dr. Laga (von der WKÖ) in Österreich, aber aus 2001
Viele Artikel zum Thema Datenschutzrecht von Rainer Knyrim
Digitale Zertifikate
Der österreichische Anbieter von digitalen Zertifikaten A-Trust
Zentrum für sichere Informationstechnologie, E-Signatur, Bürgerkarte in Österreich
Wissenswertes zu Zertifikaten, Smart-Cards und auch ein Lexikon zu PKI-Fragen
Rechtslage in Österreich zur elektronischen Signatur in Österreich
Aufsichtsstelle für elektronische Signaturen in Österreich
Viele Links zu Verordnungen im Bereich Privatsphäre in Österreich
Offizielle Stellen
Links zu allen Ministerien, Landesregierungen, etc. in Österreich
Direkt zu Landesregierungen in Österreich
Statistiken in Österreich von www.oestat.gv.at
Wirtschaftskammer in Österreich (auch mit Ministerien, Statistiken, Rechtshinweise, etc.)
Hauptverband der Sozialversicherungsträger in Österreich („Wegweiser“, dann „Sitemap“, führt zu vielen Links, u.a. alle Krankenkassen)
Österreich, Europa und E-Government
Zuerst mal Europa: Die Art.29 Data Protection Working Party, eine Arbeitsgruppe der EU die sich mit Datenschutz beschäftigt und sehr interessante Dokumente herausgibt, z.B. zu Suchmaschinen und Datenschutzgesetze. Noch ein interessantes Papier über Privacy and the Internet (pdf, englisch).
Stabsstelle IKT-Strategie des Bundes in Österreich
Behördenportal für Unternehmen in Österreich
Behördenportal für Bürger in Österreich
Job-Room des Arbeitsmarktservices in Österreich
Bundesvergabeamt, die Instanz bei der Umsetzung des Bundesvergabegesetzes
Serviceportal für Ausschreibungen des Bundes, der Länder und EU-weite Ausschreibungen, download von Ausschreibungsunterlagen, E-Mail-Service über aktuelle Ausschreibungen in Österreich
Bundesbeschaffungs GmbH, Die Einkaufsinstanz der öffentlichen Verwaltung in Österreich
Veröffentlichung von Ausschreibungsbekanntmachungen gem. BVergG (Onlineservice der Wiener Zeitung)
Auftragnehmerkataster Österreich, Liste der für öffentliche Auftraggeber geeigneten Unternehmen
Vergabeportal Österreichs, alle Ausschreibungen von Bund und Ländern
cyberDOC, das elektronische Urkundenarchiv des österreichischen Notariats
Finanz Online des BM für Finanzen in Österreich
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.