|
|||||
Home Themenübersicht / Sitemap Notizen Webmaster | |||||
Links zur InformationssicherheitEine Gemeinschaftsarbeit aller Autoren, zusammengestellt, immer wieder aktualisiert und kommentiert von Philipp Schaumann. Link zum Gesamtinhaltsverzeichnis.
AllgemeinesBericht des Europäischen Parlaments über Echelon (das Abhörsystem) - an anderer Stelle mehr zum Thema Abhören und abgehört werden Hier gibt es Tipps auf klicksafe.de zu vielen wichtigen Themen, z.B. Chatten, Social Networking, etc., speziell auch für Jugendliche. Mein Glossar der Informationssicherheit (ständig erweitert, jetzt > 180 Seiten, > 1,5 MB, PDF) bietet umfassende Definitionen, Hinweise und Erklärungen rund um die Informationssicherheit.
Hilfe bei der Erstellung eines Sicherheitskonzepts (Security Policy)Bundesdeutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) Herausgeber des
SANSs Beispiele von Security Policies (Achtung, US-amerikanischer Stil) Österreichisches Sicherheitshandbuch des Chief Information Office -Stabstelle IKT- des Bundes in Österreich (vollständiger Text im Internet) Eine wegen starker Industrienähe nicht ganz unumstrittene Initiative in Deutschland, die auf jeden Fall viele interessante Ressourcen bietet, u.a. Checklisten: "Deutschland sicher im Netz". Interessant auch Themen für Private wie Bezahlen im Netz, Emails & soziale Netze und Datensicherung und auch für Unternehmer wie Cloud Computing, Social Networks, Bring your own Device. Hier die Kritik (z.B. dass Optionen wie Mozilla oder Firefox nicht erwähnt werden und die Produkte der Mitglieder dafür recht prominent. Hier auf dieser Website: viele Anregungen und Tipps zur Sicherheits-Policy COBIT Organisation, die Organisation der IT-Revisoren NIST (National Institute for Standards and Technology), die amerikanische Standardisierungsbehörde, in diesem Fall die Computer Security Division. Dies ist eine tolle Quelle für sehr gute kostenlose Handbücher. Empfohlen sind u.a. NIST 800-30 Risk Management Guide for Information Technology Systems,
Angriff und VerteidigungQualys bietet mit SSL Labs einen kostenlosen Test, mit dem jeder prüfen kann, wie gut z.B. der Webserver seiner Bank konfiguriert ist. Die private Mitglieder-Organisation OWASP hat sich der Verbesserung der Sicherheit von Web Applikationen verschrieben. Sie publizieren jedes Jahr ihre Top 10 der gefährlichsten Schwachstellen in Web-Anwendungen - hier die OWASP Top 10 2017. Leider nicht viel anders als die OWASP Top 10 2004 - das heißt, es wird nicht wirklich besser. Bei OWASP gibt es auch viele Materialien, z.B. Sicherheitsspickzettel für Entwickler, Top 10 für Entwickler, Application Security Verification Standard, Testing Guide und vieles mehr. Außerdem kann man dort Mitglied werden und in lokalen Ablegern aktiv mitmachen. Hier gibt einige kostenlose online Scanner für Schwachstellen, Malware [und schlechte (Server)-Konfigurationen], z.B.:
Wie finde ich heraus, wer mich angreift oder scannt? Die Who Is-Datenbank, bei Eingabe einer IP-Adresse bekommt man als Antwort, wer diesen Adressbereich angemeldet hat. DNS Lookup gibt es hier, d.h. man gibt z.B. eine Domaine ein und bekommt die IP-Adresse, entweder des Webservers, oder des Mailservers, etc. Diese IP-Adresse kann ich dann z.B. in Whois verwenden. network-tools.com bietet alle diese Funktionalitäten auf einer Website, ebenso dnswatch.info Die einfachste Möglichkeit bzgl. Schwachstellen und notwendigen Aktualisierungen von Programmen auf dem Laufenden zu bleiben, ist das Abonnieren der technischen Warnungen des Bürger-CERTs aus Deutschland (und für Windows-PCs hilft noch besser der kostenlose PSI Inspector von Secunia) US-CERT bietet 4 Mailinglisten. Traditionell nur für EDV-Profis, jetzt mit 2 neuen Mailing-Listen speziell für den EDV-Laien, sei es ein Benutzer eines Heim-PCs oder ein Kleinunternehmer. Datenbank von Sicherheitslücken, automatische Benachrichtigung für neue Lücken per E-Mail (ein Muss für alle Systembetreuer!). Auf deutsch gibt es CERT.at. Beide Organisationen wenden sich hauptsächlich an Profis. Auch auf Deutsch gibt es beim Bürger-CERT aus Deutschland Informationen die auf den IT-Laien zugeschnitten sind - der Newsletter ist zu empfehlen. secunia.com, Security Advisories, viele Betriebssysteme abgedeckt. Bei Problemen im Bereich der Wirtschaftskriminalität hilft in Österreich die ICC Detailwissen über die Vorgehensweisen der Hacker und Cracker im Honeypot Projekt
Reports, Zahlen, Fakten, Studien
Die hier aufgelisteten Studien sind in der Regel allgemeiner Natur zum Thema Internet, Kriminalität, Schadsoftware, etc. Links zu spezielleren Studien sind überall auf der Website bei den jeweiligen Themen "versteckt". Microsoft Auswertungen von MS Defender und MSRT Statistiken: Security Intelligence Report (SIR) (auch ältere Ausgaben, zu empfehlen auch die Ausgabe 2.H 2006 zu "Rogue Security Software", d.h. fälschliche Information über angebliche Infektion zum Verkauf von Software, die dann sogar bisweilen Trojaner installiert) Sehr ausführliche CyberCrime Reports aus den USA: Internet Crime Complaint Center (IC3) Internet Fraud - Crime Report (jährlich). Erstellt von FBI und NW3C (National White Collar Crime Center), einer Organisation von US- und internetionalen Law Enforcement Stellen. ENISA, (European Network Information and Security Agency) veröffentlicht immer wieder Studien und Hilfestellungen. Thema Datenschutz: detaillierte Gegenüberstellung der Datenschutz-Regulierung in Europa, den USA, Japan, Südkorea, Malaysia und Indien im Auftrag der EU Kommission McAfee Threat Center mit Threats Outlooks, diverse Whitepaper und Quarterly Threat reports Symantec Internet Security Threat Report, jeweils die aktuellen Ausgaben, halbjährlich, auch regional, z.B. für EMEA (Europe + Middle East + Africa) und Archiv bis 2002 - leichtes Problem mit Over-Reporting, die Zahlen für das akuelle Quartal werden oft in späteren Ausgaben nach unten korrigiert. Sophos nakedsecurity Blog und andere Materialien Das Antiviren-Unternehmen Kaspersky veröffentlicht Berichte und Studien Ernst & Young - Global Information Security Survey IBM X-Force Research. Monatliche, halb- und ganzjährliche Reports, z.B. den IBM X-Force Threat Intelligence Index. The Anti-Phishing Working Group (APWG) is the global pan-industrial and law enforcement association focused on eliminating the fraud and identity theft that result from phishing, pharming and email spoofing of all types. Zahlreiche Reports, Übersichten, etc. zu Phishing Xamit Studien & Tests - speziell das jährliche Datenschutzbaromenter Alle Berichte von MELANI (Melde- und Analysestelle Informationssicherung) zur Informationssicherung – Lage in der Schweiz und international Studien des Honeynet zum Thema Botnets. Überblick über Spam- und Malware-Aufkommnen mit Angabe von Quellen auf Talosintelligence.com. Hier ist die Österreichische Datenschutzbehörde (DSB). Dort kann jeder die im Datenschutzregister nachlesen, welche Anwendungen mit personen-bezogenen Daten die Firmen in Österreich registriert haben. Außerdem gibt es Links zu vielen hilfreichen Website rund um den Datenschutz. Und hier sind ihre Datenschutzberichte und Newsletter. Das deutsche BSI bringt Lageberichte IT-Sicherheit heraus. Sehr gute Studien: die jährlichen Verizon Business Data Breach Investigations Reports. Verizon führt Forensics Analysen durch wenn ein Unternehmen meldet, dass ihnen Daten "verloren gingen". Vorteil ist, dass diese Studie nicht auf Selbsteinschätzungen von Sicherheitsbeauftragten beruht, sondern das wirkliche Leben wiederspiegelt. Allerdings betrifft die Untersuchung nur Fälle, die schlimm genug erschienen, Profis einzuschalten. Hier eine Website mit vielen Cybersecurity institutes, associations, and events around the world.
Magazine und Zeitschriften(oft sind automatische Benachrichtigungen per E-Mail oder RSS möglich) Heise Online EDV-Nachrichten und dort auch speziell heise.de/security Recht empfehlenswert ist auch techrepublic.com, behandelt werden alle Arten von IT-Fragestellungen Vom gleichen Verlag: ZDNet.com SC Magazine, USA Computerwelt in Österreich (leider sind viele Artikel kostenpflichtig) Computerwoche Deutschland
Elektronische NewsletterDas sind die Newsletter, die ich abonniert habe (Philipp Schaumann) Auf jeden Fall: Bruce Schneiers Crypto-Gram Newsletter, vieles ist nicht so technisch wie der Name klingt ;-) Aus D.: Secorvo Security News Aus Ö.: ARGE Daten Infos zum Datenschutz (der wöchentliche Newsletter findet sich unter infodienst) Auch aus Ö: Rainer Knyrim, Rechtsanwalt und Spezialist für Datenschutz- und IT-Recht (lesenswerter Newsletter zu Datenschutz, eCommerce, IT-Recht, Arbeitsverfassungsrecht und Vertragsrecht.)
VerschlüsselungssoftwareGnuPG, ein kompatibler, kostenfreier Ersatz für PGP, finanziert u.a. von der deutschen Bundesregierung . Hier der Link zum Programmdownload der Windowsversion von gpg4win.de Deutsche Seite mit PGP-Anwendertips.
Juristisches, GesetzeAlle Gesetzestexte in Österreich finden Sie im Rechtsinformationssystem des Bundeskanzleramtes (Abfrage am einfachsten über den Link zu Bundesrecht). Die deutschen Gesetze finden sich beim Justizministerium. Das österreichische Datenschutzgesetz 2000, bzw. die jetzt bald auslaufende DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL. In Zukunft gilt nur noch die neue EU-Datenschutz-Regulation (in allen EU-Sprachen), gültig ab 25. Mai 2018 Umfangreiche Seite zu Data Protection Laws of the World Umfangreiche Website von Franz Schmidbauer zum Thema Internet & Recht in Österreich, u.a. mit dem Text sehr vieler im IT-Bereich relevanter Gesetze und auch Kommentaren, z.B. zu den Cybercrime-Paragraphen im Strafgesetzbuch oder dem E-Commerce-Gesetz rechtsprobleme.at von Gerhard Laga. Viele Materialien zu E-Commerce, IT-Sicherheit, Urheberrecht infolaw.at der Abteilung für Informationsrecht und Immaterialgüterrecht in der WU Wien, Prof. Andreas Wiebe. Gute Links unter "Rechtsinformationen", z.B. zu Open Source Lizenzfragen, Software-Patenten, (siehe auch bei "Unterlagen der Vortragsreihe ..." und "Vorträge der Abteilungsmitarbeiter") Für alle Betreiber einer Website!! Impressumpflicht bei Internet & Recht Arbeiterkammer Wien zum Konsumentenschutz und Schutz im Internet Internet-Ombudsmann, Kooperation von WKO, VKI und OIAT, Tipps Rund um das Thema Internet-Shopping in Österreich und Schlichtung von E-Commerce Streitfällen
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
|