Inhaltsverzeichnis <kes> 2014 #3
Bedrohung
Wie hat sich die Sicherheitslage im "Jahr 1" nach Snowden gewandelt? Wie sollten Unternehmen ihre Security-Investitionen steuern? Unser Autor vergleicht die Vorgehensweise von Geheimdiensten und Kriminellen und gibt Empfehlungen zur Abwehr.
Seite 6
Advanced Persistent Threats (APTs) sind zielgerichtet, komplex und andauernd – teilweise werden sie bereits durch spezielle Cyber-Söldner durchgeführt. Diese und weitere Angriff-Trends sowie Ansätze zur erfolgversprechenden Abwehr von APTs beschreibt unser Beitrag ab
Seite 8
Totgesagte leben länger?
"Anti-Virus (AV) ist tot" hieß es vor kurzem aus prominentem Munde – stimmt das? Ist der Kampf gegen Malware verloren? Offenbar gibt es trotz erheblicher Anstrengungen immer noch und immer wieder erhebliche Probleme. Fünf mögliche Gründe für ein Scheitern der AV analysiert
Seite 14
Nicht nur Malware selbst, auch Halbwissen und Irrglauben über Viren, Würmer und Trojaner können Schaden anrichten, wenn sie zu falschen Handlungen oder Reaktionen von Mitarbeitern führen. Sicherheitsverantwortliche sollten hier aufklären und gegensteuern.
Seite 18
Speicher-Dumps und Log-Files können hochsensitive Daten enthalten – im Supportfall werden sie aber meist ohne zu zögern herausgegeben oder sogar (halb-)automatisch verschickt. Ohne umsichtige Anonymisierung können solche "technischen Dateien" zu Geheimnisverrat oder Datenschutzbruch führen – doch das "Schwärzen" ist nicht einfach.
Seite 26
Management und Wissen
Eingeschleuste USB-Sticks, verlorene Notebooks, unerwünschte Access-Points – es gibt diverse Wege, um Daten unerwünscht rein- oder rauszuschmuggeln. Viele davon lassen sich mit einem modernen Device-Management unterbinden, das zentral gesteuert wird, aber am Endpunkt handelt.
Seite 22
Bewerten wir im IT-Risikomanagement eigentlich die richtigen Dinge? Die klassische Formel zur Risikoberechnung stützt sich auf statistische Erfahrungswerte und war in der IT nie unproblematisch, wird aber immer noch häufig genutzt – dabei gibt es durchaus Alternativen.
Seite 44
Ohne Transparenz kein Schutz
Eine umfassende Identifikation und Bewertung von IT-Risiken ist heute unerlässlich. ISO/IEC 27005 liefert hierfür eine strukturierte Vorgehensweise, die man jedoch in einen umfassenden Gesamtprozess einbetten sollte.
Seite 48
Compliance-Synergien
Jede Menge Richtlinien und Regularien stellen heute Anforderungen an die IT-Sicherheit. Die Vereinheitlichung von Compliance-Treibern verspricht Synergieeffekte und ein ressourcensparendes Vorgehen.
Seite 54
IT-Grundschutz
Der zehnte Teil dieser (vormals im Infodienst IT-Grundschutz erschienenen) Kolumne schlägt einen unorthodoxen Ansatz vor: IT-Grundschutz ohne Schutzbedarf. Diese klassische Modellierung lasse den Bezug zu Geschäftsprozessen vermissen und sei daher nicht mehr zeitgemäß, argumentiert unser Autor – und skizziert natürlich auch einen Ausweg.
Seite 38
Recht
In zwei Meldungen erläutert unsere Rechtsrubrik die Unzulässigkeit einer Mehrwertdienste-Rufnummer in Pflichtangaben eines Internet-Impressums sowie den so genannten Erschöpfungsgrundsatz in Bezug auf den Wiederverkauf von Softwarelizenzen.
Seite 64
Rubriken
Seite 3 | |
Seite 66 | |
Seite 69 |
BSI-Forum
Seite 31 | |
Seite 34 | |
Seite 35 | |
Seite 31 | |
Seite 38 |
