Weiterbildung
Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:
Blogpost wurde erstelle von Tibor Kovats (Grand Casino Luzern AG) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.
zurück zu allen Beiträgen
CAS Information Security & Risk Management 2017: Bedrohung
15. Mai 2017
Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:
Information Security: Bedrohung
Bedrohungen sind heutzutage Alltag in der Informationssicherheit. Nicht nur die IT in einer Firma, sondern auch jede Privatperson, die ein Computer oder auch nur ein Smartphone besitzt, muss sich mit diesem Thema zumindest ein wenig auseinandersetzen. Früher waren solche Bedrohungen weniger gefährlich. Sie bestanden fast ausschliesslich aus einer Virengefahr, die man über eine verseuchte Floppy Disk einfangen konnte. Das Internet verstärkt diese Gefahr mannigfaltig. Trojanische Pferde, Ransom Ware und Phishing sind heutzutage Schlagwörter, die jeder kennt. All diese Gefahren kommen einem zuerst in den Sinn, wenn man an eine Bedrohung in der Information Security denkt. Doch diese Punkte, allen voran die bösartige Schadenssoftware, bilden zwar einen grossen Teil dieses Themas, dennoch gibt es auch noch ganz andere Bedrohungen. Die Naturgewalten zum Beispiel. Je nachdem können ein Erdbeben, Hochwasser, Erdrutsch, Hurrikane, Vulkanausbruch, Tsunami, Meteoriteneinschlag usw. auch die Informationssicherheit bedrohen. Weitaus unberechenbarer sind böswillige Absichten. Klassischer Diebstahl, Sabotage oder das Social Engineering, aber natürlich auch wieder die digitalen Gefahren: Hacking, Brute Force oder DDoS Angriffe, gegen die es sicher guten Schutz gibt, aber wenn jemand wirklich alles daran setzt, kann er auch die gewappnetsten Infrastrukturen oder Personen knacken. Diesen Menschen mit schlechten Absichten kann man so richtig böse sein. Emotional schwieriger wird es, wenn ein lieber, guter Mitmensch sich verklickt oder sonst einen Fehler macht und dadurch die Informationssicherheit in Gefahr bringt. Auch das sind Bedrohungen, die man meist nicht wahrhaben möchte. Ja klar, „nobody is perfect“, doch dies trifft nicht nur auf Personen und deren Klickkünste zu. Jede Hard- oder Software kann einen Fehler haben, die ein Sicherheitsloch öffnet. In diesem Sinne: „nothing is perfect“ Alle diese Kategorien (Soft- oder Hardware-Fehler, Naturkatastrophen, Userfehler, böswillige Absicht) haben unzählige Unterpunkte, gegen die man sich irgendwie schützen sollte. Um Software- oder Hardware Problemen zu vermeiden, sollte man nur solche Mittel einsetzen, die sich schon seit längerer Zeit bewährt haben. Den Naturgewalten kann man insofern ausweichen, in dem man sich in einer Gegend niederlässt, in dem diese Gefahren in der Vergangenheit nicht so oft oder gar nicht vorkamen. Vor menschlichen Fehlern ist man nie gefeit, aber mit Schulungen und das dadurch gewonnene Verständnis für die Zusammenhänge, kann man schon vieles abfangen. Zu den böswilligen Absichten anderer weiss heutzutage jeder, dass eine Antivirenlösung, Firewall und regelmässiges Updates zum guten Ton eines jeden IT-Systems gehört. Keine Links oder Anhänge anklicken, von denen man nicht sicher ist, ob sie das sind, wofür sie sich ausgeben. Auch sollten Passwörter nie aufgeschrieben werden. Das zwei weitere Tipps, die man sich zu Herzen nehmen sollte. Leider zählen Punkte wie heikle Daten vor dem Versenden verschlüsseln und ein SSL-Zertifikat genau anzuschauen noch immer zu den Handlungen, die nur ein vorgeschrittener Benutzer tatsächlich tätigt. Für einen Durchschnittsuser sind diese Dinge bereits zu kompliziert oder aufwändig. Meist nimmt man solche Bedohungen halt erst wirklich ernst, wenn sie einem selber oder einem Bekannten bereits passiert sind. Doch die aus meiner Sicht wichtigste und effizienteste Massnahme ist die Weiterbildung. Zum einen wird man über die aktuellsten Gefahren und mögliche Schutzmechanismen dagegen informiert und zum andern erhält man automatisch die nötige Awareness. Aber allem voran, kann man beim Austausch mit den unterschiedlichsten Personen viele neue und interessante Inputs gewinnen.Literaturquellen / Links
https://de.wikipedia.org/wiki/Informationssicherheit https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/news_ICS_top10_update_24082016.html https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdfCyber-Security: Trends für 2017
Blogpost wurde erstelle von Tibor Kovats (Grand Casino Luzern AG) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.