|
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
Links zur Informationssicherheit
Eine Gemeinschaftsarbeit aller Autoren, zusammengestellt, immer wieder aktualisiert und kommentiert von Philipp Schaumann.
Link zum Gesamtinhaltsverzeichnis.
Allgemeines
Bericht des Europäischen Parlaments über Echelon (das Abhörsystem) - an anderer Stelle mehr zum Thema Abhören und abgehört werden
Hier gibt es Tipps auf klicksafe.de zu vielen wichtigen Themen, z.B. Chatten, Social Networking, etc., speziell auch für Jugendliche.
Mein Glossar der Informationssicherheit (ständig erweitert, jetzt > 180 Seiten, > 1,5 MB, PDF) bietet umfassende Definitionen, Hinweise und Erklärungen rund um die Informationssicherheit.
Hilfe bei der Erstellung eines Sicherheitskonzepts (Security Policy)
Bundesdeutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) Herausgeber des
IT-Grundschutzhandbuches, eines grundlegenden und umfassenden [erschlagenden] Werkes zur Informationssicherheit (vollständiger Text im Internet)
SANSs Beispiele von Security Policies (Achtung, US-amerikanischer Stil)
Österreichisches Sicherheitshandbuch des Chief Information Office -Stabstelle IKT- des Bundes in Österreich (vollständiger Text im Internet)
Eine wegen starker Industrienähe nicht ganz unumstrittene Initiative in Deutschland, die auf jeden Fall viele interessante Ressourcen bietet, u.a. Checklisten: "Deutschland sicher im Netz". Interessant auch Themen für Private wie Bezahlen im Netz, Emails & soziale Netze und Datensicherung und auch für Unternehmer wie Cloud Computing, Social Networks, Bring your own Device. Hier die Kritik (z.B. dass Optionen wie Mozilla oder Firefox nicht erwähnt werden und die Produkte der Mitglieder dafür recht prominent.
Hier auf dieser Website: viele Anregungen und Tipps zur Sicherheits-Policy
COBIT Organisation, die Organisation der IT-Revisoren
NIST (National Institute for Standards and Technology), die amerikanische Standardisierungsbehörde, in diesem Fall die Computer Security Division. Dies ist eine tolle Quelle für sehr gute kostenlose Handbücher. Empfohlen sind u.a.
NIST 800-30 Risk Management Guide for Information Technology Systems,
NIST 800-31 Intrusion Detection Systems (IDS)
NIST 800-16 Security Training
NIST 800-40 Patch Management
NIST 800-48 Wireless Security
NIST 800-50 Awareness Training
Angriff und Verteidigung
Qualys bietet mit SSL Labs einen kostenlosen Test, mit dem jeder prüfen kann, wie gut z.B. der Webserver seiner Bank konfiguriert ist.
Die private Mitglieder-Organisation OWASP hat sich der Verbesserung der Sicherheit von Web Applikationen verschrieben. Sie publizieren jedes Jahr ihre Top 10 der gefährlichsten Schwachstellen in Web-Anwendungen - hier die OWASP Top 10 2017. Leider nicht viel anders als die OWASP Top 10 2004 - das heißt, es wird nicht wirklich besser. Bei OWASP gibt es auch viele Materialien, z.B. Sicherheitsspickzettel für Entwickler, Top 10 für Entwickler, Application Security Verification Standard, Testing Guide und vieles mehr. Außerdem kann man dort Mitglied werden und in lokalen Ablegern aktiv mitmachen.
Hier gibt einige kostenlose online Scanner für Schwachstellen, Malware [und schlechte (Server)-Konfigurationen], z.B.:
- Symantec Prüft auf Viren und Konfigurationsschwächen
- Kostenloser Malware-Scan von Trend Micro
- Kostenloser Malware-Scan von ESET
- Kostenloser Malware-Scan von F-Secure
- Sicherheitscheck des Datenschutzbeauftragten in Niedersachsen Diverse Tests von Browser und Rechner, in Zusammenarbeit mit dem heise Verlag
- securityspace Man muss sich registrieren, dann gibt es einen sehr umfangreichen Scan gratis
- qualys scant beliebige IP-Adressen, verschweigt in der kostenlosen Test-Version allerdings einige Details der gefundenen Sicherheitslücken. Qualys kann auch genutzt werden um Webserver zu testen
- heise.de Browser-Check auf die Sicherheitseinstellungen des Webbrowser
Wie finde ich heraus, wer mich angreift oder scannt? Die Who Is-Datenbank, bei Eingabe einer IP-Adresse bekommt man als Antwort, wer diesen Adressbereich angemeldet hat. DNS Lookup gibt es hier, d.h. man gibt z.B. eine Domaine ein und bekommt die IP-Adresse, entweder des Webservers, oder des Mailservers, etc. Diese IP-Adresse kann ich dann z.B. in Whois verwenden. network-tools.com bietet alle diese Funktionalitäten auf einer Website, ebenso dnswatch.info
Die einfachste Möglichkeit bzgl. Schwachstellen und notwendigen Aktualisierungen von Programmen auf dem Laufenden zu bleiben, ist das Abonnieren der technischen Warnungen des Bürger-CERTs aus Deutschland (und für Windows-PCs hilft noch besser der kostenlose PSI Inspector von Secunia)
US-CERT bietet 4 Mailinglisten. Traditionell nur für EDV-Profis, jetzt mit 2 neuen Mailing-Listen speziell für den EDV-Laien, sei es ein Benutzer eines Heim-PCs oder ein Kleinunternehmer. Datenbank von Sicherheitslücken, automatische Benachrichtigung für neue Lücken per E-Mail (ein Muss für alle Systembetreuer!). Auf deutsch gibt es CERT.at. Beide Organisationen wenden sich hauptsächlich an Profis.
Auch auf Deutsch gibt es beim Bürger-CERT aus Deutschland Informationen die auf den IT-Laien zugeschnitten sind - der Newsletter ist zu empfehlen.
secunia.com, Security Advisories, viele Betriebssysteme abgedeckt.
Bei Problemen im Bereich der Wirtschaftskriminalität hilft in Österreich die ICC
Detailwissen über die Vorgehensweisen der Hacker und Cracker im Honeypot Projekt
Reports, Zahlen, Fakten, Studien
|
Aktuelle Reports und Studien zur Informationssicherheit
Einige dieser Links sind etwas älter, aber führen oft zu generischen Seiten, auf denen auch die aktuellen Reports zu finden sind. In meinen monatlichen Newslettern verweise ich jeden Monat auf aktuelle Reports und Studien zur Informationssicherheit. |
Die hier aufgelisteten Studien sind in der Regel allgemeiner Natur zum Thema Internet, Kriminalität, Schadsoftware, etc. Links zu spezielleren Studien sind überall auf der Website bei den jeweiligen Themen "versteckt".
Microsoft Auswertungen von MS Defender und MSRT Statistiken: Security Intelligence Report (SIR) (auch ältere Ausgaben, zu empfehlen auch die Ausgabe 2.H 2006 zu "Rogue Security Software", d.h. fälschliche Information über angebliche Infektion zum Verkauf von Software, die dann sogar bisweilen Trojaner installiert)
Sehr ausführliche CyberCrime Reports aus den USA: Internet Crime Complaint Center (IC3) Internet Fraud - Crime Report (jährlich). Erstellt von FBI und NW3C (National White Collar Crime Center), einer Organisation von US- und internetionalen Law Enforcement Stellen.
ENISA, (European Network Information and Security Agency) veröffentlicht immer wieder Studien und Hilfestellungen.
Thema Datenschutz: detaillierte Gegenüberstellung der Datenschutz-Regulierung in Europa, den USA, Japan, Südkorea, Malaysia und Indien im Auftrag der EU Kommission
McAfee Threat Center mit Threats Outlooks, diverse Whitepaper und Quarterly Threat reports
Symantec Internet Security Threat Report, jeweils die aktuellen Ausgaben, halbjährlich, auch regional, z.B. für EMEA (Europe + Middle East + Africa) und Archiv bis 2002 - leichtes Problem mit Over-Reporting, die Zahlen für das akuelle Quartal werden oft in späteren Ausgaben nach unten korrigiert.
Sophos nakedsecurity Blog und andere Materialien
Das Antiviren-Unternehmen Kaspersky veröffentlicht Berichte und Studien
Ernst & Young - Global Information Security Survey
IBM X-Force Research. Monatliche, halb- und ganzjährliche Reports, z.B. den IBM X-Force Threat Intelligence Index.
The Anti-Phishing Working Group (APWG) is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Zahlreiche Reports, Übersichten, etc. zu Phishing
Xamit Studien & Tests - speziell das jährliche Datenschutzbaromenter
Alle Berichte von MELANI (Melde- und Analysestelle Informationssicherung) zur Informationssicherung – Lage in der Schweiz und international
Studien des Honeynet zum Thema Botnets.
Überblick über Spam- und Malware-Aufkommnen mit Angabe von Quellen auf Talosintelligence.com.
Hier ist die Österreichische Datenschutzbehörde (DSB). Dort kann jeder die im Datenschutzregister nachlesen, welche Anwendungen mit personen-bezogenen Daten die Firmen in Österreich registriert haben. Außerdem gibt es Links zu vielen hilfreichen Website rund um den Datenschutz. Und hier sind ihre Datenschutzberichte und Newsletter.
Das deutsche BSI bringt Lageberichte IT-Sicherheit heraus.
Sehr gute Studien: die jährlichen Verizon Business Data Breach Investigations Reports. Verizon führt Forensics Analysen durch wenn ein Unternehmen meldet, dass ihnen Daten "verloren gingen". Vorteil ist, dass diese Studie nicht auf Selbsteinschätzungen von Sicherheitsbeauftragten beruht, sondern das wirkliche Leben wiederspiegelt. Allerdings betrifft die Untersuchung nur Fälle, die schlimm genug erschienen, Profis einzuschalten.
Hier eine Website mit vielen Cybersecurity institutes, associations, and events around the world.
Magazine und Zeitschriften
(oft sind automatische Benachrichtigungen per E-Mail oder RSS möglich)
Heise Online EDV-Nachrichten und dort auch speziell heise.de/security
Recht empfehlenswert ist auch techrepublic.com, behandelt werden alle Arten von IT-Fragestellungen
Vom gleichen Verlag: ZDNet.com
SC Magazine, USA
Computerwelt in Österreich (leider sind viele Artikel kostenpflichtig)
Computerwoche Deutschland
Elektronische Newsletter
Das sind die Newsletter, die ich abonniert habe (Philipp Schaumann)
Auf jeden Fall: Bruce Schneiers Crypto-Gram Newsletter, vieles ist nicht so technisch wie der Name klingt ;-)
Aus D.: Secorvo Security News
Aus Ö.: ARGE Daten Infos zum Datenschutz (der wöchentliche Newsletter findet sich unter infodienst)
Auch aus Ö: Rainer Knyrim, Rechtsanwalt und Spezialist für Datenschutz- und IT-Recht (lesenswerter Newsletter zu Datenschutz, eCommerce, IT-Recht, Arbeitsverfassungsrecht und Vertragsrecht.)
Verschlüsselungssoftware
GnuPG, ein kompatibler, kostenfreier Ersatz für PGP, finanziert u.a. von der deutschen Bundesregierung . Hier der Link zum Programmdownload der Windowsversion von gpg4win.de
Deutsche Seite mit PGP-Anwendertips.
Juristisches, Gesetze
Alle Gesetzestexte in Österreich finden Sie im Rechtsinformationssystem des Bundeskanzleramtes (Abfrage am einfachsten über den Link zu Bundesrecht). Die deutschen Gesetze finden sich beim Justizministerium.
Das österreichische Datenschutzgesetz 2000, bzw. die jetzt bald auslaufende DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL. In Zukunft gilt nur noch die neue EU-Datenschutz-Regulation (in allen EU-Sprachen), gültig ab 25. Mai 2018
Umfangreiche Seite zu Data Protection Laws of the World
Umfangreiche Website von Franz Schmidbauer zum Thema Internet & Recht in Österreich, u.a. mit dem Text sehr vieler im IT-Bereich relevanter Gesetze und auch Kommentaren, z.B. zu den Cybercrime-Paragraphen im Strafgesetzbuch oder dem E-Commerce-Gesetz
rechtsprobleme.at von Gerhard Laga. Viele Materialien zu E-Commerce, IT-Sicherheit, Urheberrecht
infolaw.at der Abteilung für Informationsrecht und Immaterialgüterrecht in der WU Wien, Prof. Andreas Wiebe. Gute Links unter "Rechtsinformationen", z.B. zu Open Source Lizenzfragen, Software-Patenten, (siehe auch bei "Unterlagen der Vortragsreihe ..." und "Vorträge der Abteilungsmitarbeiter")
Für alle Betreiber einer Website!! Impressumpflicht bei Internet & Recht
Arbeiterkammer Wien zum Konsumentenschutz und Schutz im Internet
Internet-Ombudsmann, Kooperation von WKO, VKI und OIAT, Tipps Rund um das Thema Internet-Shopping in Österreich und Schlichtung von E-Commerce Streitfällen
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.