TÜV TRUST IT: IT Security News

KAPSCH - ERSTES UNTERNEHMEN IN ÖSTERREICH MIT TÜV-ZERTIFIZIERTEN IT-SECURITY AUDITOREN!

Thu, 22 Apr 2010 16:45:00 +0200

Die Sicherheit von Systemen mit Verbindungen zu öffentlichen Netzen ist besonders sensibel hinsichtlich unautorisierter, meist anonymer Zugriffe. Praktisch jeden Tag werden neue Gefahren und Sicherheitslücken in Applikationen und Betriebssystemen entdeckt – und meistens sind Programme, die diese Lücken ausnützen, rasch verfügbar. Alle Lücken zu kennen und entsprechend zeitgerecht zu schließen, ist bei den täglichen Arbeiten eines Administrators praktisch nicht mehr möglich. Zudem müssen viele Zugänge wie z. B. Webseiten geöffnet sein, um Arbeitsabläufe nicht zu behindern.

Daher ist eine Sicherheitsüberprüfung möglichst aller Systembestandteile und Anwendungen eines Netzwerks- oder eines Softwaresystems mit genau jenen Mitteln und Methoden, die ein Angreifer (Hacker) anwenden würde, um unautorisiert in das System einzudringen, notwendig.
Dies erfordert Testmethoden, die sich dem Blickwinkel der Angreifer bedienen, um möglichst reale Testbedingungen zu schaffen. Solche realen Testbedingungen werden durch die Security Audits & Assessment-Dienstleistungen von Kapsch möglich gemacht.

Die Security Audits werden unter anderem nach der OSSTMM (Open Source Security Testing Methodology Manual) Methode durchgeführt. Mit dieser Methode wird das Ergebnis des Security Audits einheitlich und daher vergleichbarer gemacht.

Kapsch führt diese Security Audits nach den Qualitätsrichtlinien der TÜV Austria durch und die Spezialisten der Kapsch BusinessCom AG sind als „TÜV Trusted IT-Security Auditor“ zertifiziert.

Christian Üblbacher, MSc, Head of Engineering IT-Security & Wireless bei Kapsch BusinessCom: „Ich bin sehr stolz darauf, dass meine Mitarbeiter die ersten zertifizierten Spezialisten dieser Art in Österreich sind! Zusätzlich zu unseren bereits bestehenden Qualifikationen, erhöht sich durch diese Zertifizierung die Attraktivität von Kapsch BusinessCom im Bereich IT-Security noch mehr. Aufgrund unserer hohen Qualitätsstandards scheuen wir uns auch nicht davor, dass uns eine andere Institution wie TÜV Austria über die Schulter blickt.“

Interessierte Unternehmen bzw. Kunden von Kapsch erhalten durch diese Qualitätsrichtlinien ein Ergebnis nach europäischen und internationalen Standards, z.B. gemäß den Richtlinen von ISO27001 und ON7700 bzw. OWASP (Open Web Application Security Project). TÜV TRUST IT wacht dabei als neutraler Dritter über die Vorgehensweise von Kapsch bei IT-Security Audits.

Kapsch BusinessCom ist bislang das einzige Unternehmen in Österreich, dessen ausgewählte Spezialisten als „TÜV Trusted IT-Security Auditor“ von der TÜV TRUST IT überprüft und zertifiziert wurden!
Selbstverständlich können IT-Security Audits bzw. Penetrations-Test jeglicher Art auch weiterhin direkt von TÜV TRUST IT durchgeführt werden!

Wir unterstützen Sie sehr gerne u.a. in den Bereichen:

•   Netzwerksicherheit
•   Interne und externe Überprüfungen
•   VoIP
•   WLAN
•   Telekommunikationsanlagen-Scanning (TK-Scanning)
•   Application Testing/ Technische Sicherheit von Anwendungen und Produkten
•   Prüfung von Webapplikationen
•   Client-Hacking
•   System-Hardening
•   Scanning / Penetration von Netzwerken
•   Technische Konzeptprüfung
•   IT-Technische Strukturanalysen
•   Vulnerability Scans
•   IT-Forensische Untersuchungen
•   Entwicklung sicherer Software (SSD)
•   Threat Modelling
•   Embedded Systems und Hardware Analysen
•   Source Code Analysen

DIE NEUE ÖSTERREICHISCHE DATENSCHUTZNOVELLE IST DA!

Thu, 22 Apr 2010 16:40:00 +0200

Das Datenschutzgesetz hat den Sinn, den Bürger davor zu schützen, dass seine persönlichen Daten nicht unbefugt und unkontrolliert weitergegeben werden. Manchmal entsteht allerdings der Eindruck, dass der Gesetzgeber dies vergessen hat.

Endlich, nach mehr als zweieinhalb Jahren andauernden Geburtswehen, ist es in Kraft. Seit 01.01.2010 hat das neue Datenschutzgesetz DSG 2010 Gültigkeit! Obwohl die Novelle auf breiter Ebene lange diskutiert wurde, ist der vielfach erwartete große Wurf ausgeblieben. Die ARGE DATEN (www.argedaten.at) hat sogar von einer „Novelle der verlorenen Chancen“ gesprochen. Fakt jedoch ist, dass es einige Neuerungen gibt, die wir alle zu berücksichtigen haben und die möglicherweise große Auswirkungen haben können – für Sie, für Ihr Unternehmen und für Ihre IT. Nachfolgend ein paar Gedanken zur Novelle 2010.

Neu ist: Meldungen [an das Datenverarbeitungsregister, kurz DVR] haben über eine vom Bundeskanzler bereitgestellte Internetanwendung zu erfolgen – Dies kann aber erst in Zukunft geschehen, sobald nämlich die entsprechende Infrastruktur zur Verfügung steht. Die Authentifizierung soll „insbesondere durch die Bürgerkarte erfolgen“ [§17 Abs. 1a] Derzeit erfolgt die Meldung per email oder über nichtelektronische Wege; das wird auch weiterhin möglich sein. Wichtig ist, dass bei der Zukunftslösung die Meldungen nur mehr „formal“, nicht aber inhaltlich geprüft werden. Die email-Meldung wird allerdings weiterhin inhaltlich geprüft. Somit wird der Meldeprozess über Internet sowohl für den Anwender als auch für die Datenschutzkommission (DSK) einfacher werden.

Neu ist: eine sinnlose oder inhaltlich falsche Meldung wird, sofern sie über die Internetanwendung erfolgt und den formalen Anforderungen entspricht, grundsätzlich akzeptiert werden. Nicht aus der Gesetzesnovelle hervor geht, ob die Meldedatenbank dann auch öffentlich zugänglich sein wird. Es kann jedoch davon ausgegangen werden. Das hätte Konsequenzen: unrichtige Meldung könnten von jedermann einfach, formlos und anonym aufgefunden werden. So könnte z.B. jeder, der seine Überwachungskamera nicht registriert hat, vom übel wollenden Nachbarn einfach gefunden und gemeldet werden.

Neu ist: Die Befugnisse der DSK wurden erweitert. Sie ist ab sofort berechtigt, selbständig die Einhaltung des DSG zu überprüfen. Anwendungen welche nicht ordnungsgemäß im DVR gemeldet sind oder bei denen die Betroffenenrechte nicht gewahrt werden können, können – nach Verstreichen einer Nachfrist - durch die DSK abgestellt werden. Dazu gehört auch, dass im Überprüfungsfall der DSK nachzuweisen ist, dass die Daten „angemessen“ bzw. „geeignet“ gesichert sind. Sollte die IT nicht diesen Anforderungen entsprechen, ist die DSK berechtigt, die Datenanwendung zu verbieten.

Neu ist das Thema Videoüberwachung: Es wurde seinerzeit im DSG 2000 gar nicht explizit behandelt. Videos waren einfach „personenbezogene Daten“, und die allgemein gültigen Anforderungen wurden auf Videos ausgedehnt. Jetzt ist das anders. Gleich geblieben ist, dass Videoüberwachung meldepflichtig ist, und zwar in Form einer Vorabkontrolle. Sie sind seit jeher von Gesetzes wegen verpflichtet, bevor Sie eine Videoüberwachung beginnen, Ihr Einverständnis von der Datenschutzkommission einzuholen. Diese Regelung wurde erleichtert: Die Vorabkontrolle fällt weg, sofern Sie die Videoüberwachungsdaten verschlüsseln und der Schlüssel bei der DSK hinterlegt wird (abgesehen von Ausnahmen). Dadurch verspricht sich der Gesetzgeber offenbar bessere Akzeptanz der Meldeverpflichtung.

Neu ist auch die Kennzeichnungspflicht der Videoüberwachungsanlage. Sie hat „derart zu erfolgen, dass jeder potentiell Betroffene … tunlichst die Möglichkeit der Videoüberwachung auszuweichen.“ [§50d] Demnach müssen Sie Ihre Videoüberwachungsanlage derart kennzeichnen, dass sie bereits vor dem Betreten des überwachten Bereiches umdrehen können.

Eine interessante Neuerung ist die Informationspflicht, die besagt, dass Betroffene von schwerwiegenden Datenschutzverletzungen zu informieren sind. Die Konsequenzen dieses §24 Abs. 2 sind aus heutiger Sicht noch kaum abzusehen, sie könnten aber enorm sein. Wird durch einen illegalen Angriff auf Ihre Daten eine große Anzahl von personenbezogenen Daten ausspioniert, so sind alle Betroffenen zu verständigen – möglicherweise über TV Einschaltungen in der Primetime. Was das für ein Unternehmen bedeutet lässt sich ausmalen.

Datenschutzverletzungen sind mit – vielfach vernachlässigbaren – Verwaltungsstrafen verbunden. Unangenehm kann die Verfügung zur Einstellung der Datenanwendung werden, sehr unangenehm kann der Reputationsverlust für das Unternehmen werden.

Nehmen Sie das Thema ernst. Wenn Sie mehr darüber wissen wollen, fragen Sie uns! Gerne werden wir Sie in Ihren Datenschutzbelangen unterstützen, Sie coachen, Ihre IT auf Datenschutz-Compliance überprüfen oder Ihre Datenschutzagenden für Sie wahrnehmen.

MICROSOFT INTERNET EXPLORER 8 ERHÄLT SIEGEL „GEPRÜFTE SOFTWARE“

Thu, 25 Mar 2010 09:40:00 +0100

Köln / München 25.3.2010. Microsoft Internet Explorer 8 hat sich im Dezember 2009 als erster Browser einer strengen Überprüfung durch TÜV TRUST IT gestellt. Er erfüllt bislang als einziger Webbrowser die hohen Anforderungen der TÜV-Zertifizierung nach Datensicherheit, Schutzmechanismen und Compliance.

Die TÜV TRUST IT hat den Anforderungskatalog „Trusted Internet Application“ entwickelt, um Anwendern eine Orientierungshilfe für die immer wichtiger werdenden Kriterien Datensicherheit, Schutzmechanismen und Compliance zu geben. Das große Bedürfnis nach dem Schutz persönlicher Daten drückt sich auch in der jüngst ergangenen Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung aus, die sich auf eine große Masse an Antragstellern stützte und auf breite Resonanz in den Medien stieß. Im Vordergrund steht nicht die Prüfung der Programme selbst, sondern mit welchen Verfahren und Prozessen der Anbieter sicherstellt, dass die Software ein hohes Maß an Sicherheit bietet und Schwachstellen schnell beseitigt werden.

„Der Internet Explorer 8 hat uns überzeugt“, sagt Detlev Henze, Geschäftsführer der TÜV TRUST IT GmbH. „Er weist gegenüber der Vorgängerversion erhebliche Verbesserungen im Bereich Sicherheit und Schutzmechanismen auf.“

Mit Internet Explorer 8 sicher surfen

Der Internet Explorer 8 erfüllt alle Anforderungen des Prüfkatalogs, sowohl bei der technischen Umsetzung des Angriffsschutzes als auch den organisatorischen Maßnahmen, das Schutzniveau zu sichern und stetig zu erhöhen. Eine Reihe von neuen Funktionen sind neue und deutliche Ergänzungen und Verbesserungen gegenüber der Vorgängerversion. Der Smartscreen-Filter ist eine neuartige Ergänzung und erhöht die Sicherheit der Nutzer während der Surfsitzung dadurch, dass Phishing-Angriffe erkannt und abgewehrt werden können. Außerdem schützt er vor Seiten, über die schädliche Software geladen werden soll. Einen dezidierten, ständig aktualisierten Viren- und Malwarescanner ersetzt die Funktion aber nicht. Die InPrivate-Browsing Funktion schützt eine Surfsitzung vor neugierigen Blicken und sichert ein hohes Schutzniveau im täglichen Gebrauch. InPrivate verhindert, dass Verlauf, temporäre Internetdateien und Cookies auf dem PC gespeichert werden. Dabei sind Funktionsleisten und Erweiterungen automatisch deaktiviert. Auch können durch einen Filter Inhalte von Dritten blockiert werden, die das Online-Verhalten nachvollziehen möchten. Anwender können selbst kontrollieren, welche Drittanbieter zugelassen oder blockiert werden, sowie die Stärke der Filterung festlegen. Eine Rekonstruktion eventuell noch vorhandener Daten ist beim Internet Explorer 8 nur noch durch forensische Methoden möglich.

Dorothee Ritz, General Manager Consumer & Online bei Microsoft: „Wir sind sehr stolz darauf, dass eine so anerkannte Instanz in Sachen technischer Sicherheit wie die TÜV TRUST IT GmbH den Internet Explorer 8 als einzigen Browser zertifiziert hat.“

Kommunikation über das Internet sichern

Die Kommunikation über das Internet hat eine ständig wachsende Bedeutung im täglichen Leben der Menschen im privaten und beruflichen Umfeld. Ermöglicht wird sie von Programmen wie Webbrowser, Chat-Clients, Mail- oder VoIP-Software. Der Webbrowser nimmt eine prominente Stellung ein und ist damit auch eines der Hauptziele von Attacken durch Angreifer aus dem Internet. Während es für Webseiten eine Reihe von unterschiedlichen Prüfkatalogen gibt, die die Sicherheit zum Thema haben, gab es bisher kein Prüfsiegel, welches die für die Schutzziele der Nutzer wichtigen Kommunikationsprogramme untersucht.

Anforderungen von TÜV TRUST IT

Der hierfür von TÜV TRUST IT entwickelte Anforderungskatalog umfasst technische Analysen der Software, organisatorische Prüfungen bezüglich der Softwareentwicklung, der Datensicherheit sowie Compliance-Eigenschaften. Diese adressieren vor allem die Umsetzbarkeit von Richtlinien der Unternehmen durch zentrale Konfiguration und Administration der Software.

Die technischen Prüfungen umfassen unter anderem Sicherheitseigenschaften wie die Konfigurationsmöglichkeiten bezüglich Datensicherheit und Schutz der Privatsphäre, die internen Schutzmechanismen, Verschlüsselungseigenschaften, Updateverfahren, die Integration von Add-Ons und externen Sicherungsprogrammen sowie weitere sicherheits- und schutzrelevante Eigenschaften. Zudem legt die Prüfung ein besonderes Augenmerk auf den Softwareentwicklungs- und Pflegeprozess, welcher bei der Entdeckung eines Fehlers schnell und zuverlässig entsprechende Maßnahmen auf technischer und organisatorischer Ebene einleitet sowie die Anwender informiert und mit Updates versorgt.

Weitere Informationen: http://www.it-tuv.com/internet-explorer

Über die TÜV AUSTRIA Gruppe

TÜV ist die Abkürzung für „Technischer Überwachungsverein“ und steht für eine technische Prüforganisation, welche die Sicherheit von Produkten und Technologien aller Art gewährleistet und Mensch wie Umwelt gegen Bedrohungen schützt.
Alle „TÜVs“ sind unabhängige Organisationen, die darüber hinaus Zertifizierungen nach verschiedenen internationalen Standards durchführen.
Die TÜV Austria Gruppe strebt danach, technische Sicherheit zu gewährleisten, natürliche Ressourcen zu schützen und die Qualität von Produkten und Dienstleistungen zu verbessern. Zahlreiche Akkreditierungen, Notifizierungen und Ermächtigungen zeichnen sie aus und stehen für Kompetenz, die mittlerweile in weltweiter Aktivität angesehen wird.
TÜV TRUST IT ist ein Unternehmen der TÜV Austria Gruppe und wird als der
„IT-TÜV“ betrachtet. Hier stehen neutrale, objektive und unvoreingenommene Dienstleistungen im Vordergrund: IT-Risiken identifizieren, bewerten und damit umgehen. Dank dieser Dienstleistungen haben die Kunden die Möglichkeit, von ihren Informationstechnologien und den damit verbundenen Prozessen verstärkt zu profitieren. Durch Zertifizierungen wird Leistungsfähigkeit und Sicherheit der Kunden dokumentiert - damit ist der TÜV der Transporteur des Wertversprechens der Kunden.

Weitere Informationen: http://www.it-tuv.com

Microsoft Deutschland GmbH

Die Microsoft Deutschland GmbH ist die 1983 gegründete Tochtergesellschaft der Microsoft Corporation/Redmond, U.S.A., des weltweit führenden Herstellers von Standardsoftware, Services und Lösungen mit 58,44 Mrd. US-Dollar Umsatz (Geschäftsjahr 2009; 30. Juni 2009). Der operative Gewinn im Fiskaljahr 2009 betrug 20,36 Mrd. US-Dollar. Neben der Firmenzentrale in Unterschleißheim bei München ist die Microsoft Deutschland GmbH bundesweit mit sechs Regionalbüros vertreten und beschäftigt mehr als 2.200 Mitarbeiterinnen und Mitarbeiter. Im Verbund mit rund 31.500 Partnerunternehmen betreut sie Firmen aller Branchen und Größen. Im Mai 2003 wurde in Aachen das European Microsoft Innovation Center (EMIC) eröffnet. Es hat Forschungsschwerpunkte in IT-Sicherheit, Mobilität, mobile Anwendungen und Web-Services.

Ansprechpartner:

TÜV TRUST IT GmbH
Unternehmensgruppe TÜV AUSTRIA

Detlev Henze

Geschäftsführer
detlev.henzeit-tuv.com

INITIATIVE:SPEZIELLER INDUSTRIESTANDARD IN DER GAMINGINDUSTRIE

Tue, 29 Sep 2009 10:35:00 +0200

TÜV TRUST IT schafft mehr Sicherheit, Rechtskonformität und Transparenz für Spieler, Gaming- und Gambling Provider, durch das Schaffen eines Standards der durch ein Zertifikat „Trusted Gaming Provider“ dokumentiert wird. Erstmalig wird in diesem Bereich ein allgemeingültiges Standardwerk auf internationaler Basis geschaffen, der gegenüber Gesetzgebern und Behörden den rechtkonformen Umgang mit den angebotenen Dienstleistungen dokumentiert.

Innerhalb der Entertainmentbranche nimmt die Gaming-Industrie eine Sonderstellung ein. Zum Einen unterliegt sie staatlichen Regulierungen und zum Anderen muss Sie mehr als andere Industriezweige für Transparenz und ein hohes Qualitätsniveau ihrer Produkte sorgen. Gerade für die Online-Schnittstellen muss dies besonders gewährleistet sein, da hier bei Vielen ein Misstrauen bzgl. der Integrität der angebotenen Dienstleistungen herrscht. Es werden Manipulationsmöglichkeiten innerhalb des Spielablaufs oder Spionage durch die Betreiber oder Mitspieler vermutet. Dabei ist es unabhängig, um welche Spiele es sich hierbei handelt. So werden Manipulationsvorwürfe sowohl bei Online-Poker als auch bei klassischen Geschicklichkeitsspielen im Turniermodus laut.

Eine Möglichkeit sich als Anbieter von Online-Games diesen Vorwürfen pro-aktiv entgegen zu stellen, ist die Verifikation der Prozesse, der IT-Infrastruktur und der Software durch unabhängige und produktneutrale Dritte. Dabei bieten sich u.a. internationale Prüforganisationen wie die TÜV TRUST IT an, die als neutrale und produktunabhängige Instanz auf Basis von internationalen Standards Qualitäts- und Sicherheitsanalysen durchführt. Da es keinen allgemein gültigen Standard für die Gaming-Industrie gibt, muss dieser erst entwickelt werden. Dabei wurde soweit wie möglich auf bereits international anerkannte Standards zurückgegriffen und mit der Branchenerfahrung auf die speziellen Anforderungen der Dienstleistungen angepasst.

Um mit dem Zertifikat den speziellen Anforderungen der Gaming-Industrie gerecht zu werden, müssen die verschiedenen Interessengruppen einbezogen werden. Die staatlichen Stellen möchten bei den Produkten der Gaming-Industrie die rechtlichen Vorgaben gewahrt sehen. Die Randbedingungen unter denen eine Lizenz oder Genehmigung zum Betrieb des Angebotes erteilt wird, müssen unter allen Umständen respektiert und eingehalten werden. Somit ist klar, dass ein Zertifizierungsstandard für die Gaming-Industrie einen großen rechtlichen Anteil haben muss, der die einzuhaltenden rechtlichen Anforderungen beinhaltet.

Die Betreiber selbst haben natürlich ein sehr hohes Interesse daran, das über die Online-Schnittstellen der Betrieb und der ordnungsgemäße Ablauf des Angebotes nicht gefährdet wird. Weiterhin müssen die persönlichen Daten des Spielers wie bspw. seine Identität und seine Finanzdaten besonders geschützt werden und ein Angreifer darf nicht in den Besitz dieser Daten gelangen. Weiterhin muss die Möglichkeit der Manipulation des Spiel- oder Turnierablauf über die Online-Schnittstellen ausgeschlossen sein. Die Integrität des Produktes selbst muss zu jeder Zeit gewährleistet sein.

Die dritte Interessengruppe sind Spieler. Sie möchten ebenso wie der Betreiber sichergestellt wissen, dass das Produkt manipulationsresistent ist und neben anderen Spielern, auch der Betreiber selbst nicht in den Spielablauf eingreift und zum Schaden des Spielers Änderungen vornimmt. Zudem besteht bei einigen Spielern der Verdacht, dass ggf. die spezielle Clientsoftware einiger Anbieter Spionageaktivitäten auf dem Computer des Nutzers vornimmt. Einen kompletten Überblick über diese verschieden Anforderungen an einen wirkungsvollen Standard erhält man durch die Anwendung von modifizierten Threat-Analysen bzgl. der betrachteten Dienstleistungen, wobei die dann resultierenden Threat-Modelle sich aus allgemeinen Anteilen (Verstöße gegen grundsätzliche rechtliche Randbedingungen) und produktspezifischen Bedrohungen zusammensetzen. Wir bieten an, dieses Threat-Modell auf Basis unserer Vorarbeiten zusammen mit der Gaming-Industrie weiter zu entwickeln.

Somit ist evident, dass ein Standard neben den rechtlichen Belangen auch die Analyse der relevanten Prozesse des Unternehmens in Bezug auf die Dienstleistung, als auch die technische IT-Infrastruktur und die eingesetzte Software beinhalten muss. Dabei sind die drei Segmente nicht trennscharf voneinander getrennt sondern haben große Bereiche, in den sich die Anforderungen ergänzen und überlappen. Um diesen Standard so robust wie möglich zu gestalten, wird er sich auf bereits erprobte und bewährte Standards beziehen.

Für den Bereich Informationssicherheit werden die Anforderungen der ISO/IEC 27001 zu Grunde gelegt. Analysen auf Basis dieser Norm beleuchten alle relevanten organisatorischen Prozesse innerhalb des Unternehmens, soweit sie mit der zu zertifizierenden Dienstleistung in Verbindung stehen. Für spezielle technische Elemente werden die Anforderungen aus dem Standard ISO/IEC 18028 und dem Industriestandard PCIDSS V2.1 berücksichtigt. Um ein entsprechend hohes Niveau zu garantieren, müssen zusätzlich noch die für die sicherheitstechnischen Analysen von Online-Kommunikation maßgeblichen Standards wie OWASP V3.0 (Open Web Application Security Project) und OSSTMM V3.0 (Open Source Security Testing Methodology Manual) berücksichtigt werden. Die einzelnen Standards weisen natürlich Überschneidungen auf, die entsprechend berücksichtigt werden.

Damit hat der Standard folgende Bestandteile:

· länderspezifische rechtliche Anforderungen (z.B. Datenschutz, Risikomanagement)

· technische und organisatorische Industrieanforderungen (z.B. aus PCIDSS)

· Anforderungen aus speziellen, internationalen Normen des Informationsschutz (z.B. ISO 27001, ISO 18028)

· technische und prozessuale Anforderungen aus dem Bereich der IT-Sicherheit (z.B. OWASP, OSSTMM)

· spezielle Anforderungen aus dem Bereich der Gaming-Industrie

Gerade der letzte Punkt ist nun von besonderem Interesse. Während die vier ersten Bereiche der vorangehenden Liste mehr oder weniger der Gaming-Industrie von Außen vorgegeben werden, kann die Gaming-Industrie beim letzten Punkt aktiv mitwirken. Durch die Definition von industriespezifischen Anforderungen der Betreiber selbst, kann somit bei erfolgreicher Zertifizierung dokumentiert werden, dass die geprüfte Dienstleistung und das Unternehmen ein Höchstmaß an Transparenz, Sicherheit und Compliance erfüllt. Durch die Formulierung von industriespezifischen Anforderungen können zudem unseriöse Anbieter in diesem Industriesektor besser abgegrenzt und für den Kunden sichtbar gemacht werden.

Wir bieten der Gaming-Industrie an, aktiv an dem Standard (Trusted Gaming Provider) mitzuwirken und ihn somit die Grundlage für einen wirkungsvollen Schutz für die Provider und die Kunden zu etablieren. Mit dieser Initiative möchten wir die Gaming-Industrie dabei unterstützen aus der passiven in eine aktive Rolle zu wechseln und proaktiv zu handeln. Wir schlagen daher vor ein Team zu bilden, welches auf Basis des bestehenden Standards mit der aktiven Weiterentwicklung befasst und ähnlich wie in anderen Industriebereichen, aus den Interessengruppen selbst der Regulierung proaktiv entgegengewirkt wird. Das bisherige Team besteht aus erfahrenen Protagonisten aus den Bereichen der technischen und organisatorischen Informationssicherheit und speziellen Experten im Bereich Gaminglaw.

Kontakt über: gaming-standardit-tuv.com

SecuROM ALS "TRUSTED PROCEDURE" TÜV ZERTIFIZIERT

Mon, 17 Aug 2009 15:19:00 +0200

Im Falle der Inkompatibilität zwischen der SecuROM-Software und der Hardware, des Betriebssystems oder der Konfiguration des Benutzers startet SecuROM ein integriertes Analyse-Programm. Dieses sammelt Informationen über die Konfiguration sowie beispielsweise die installierten Programme, Aktualisierungen und Patches. Das fertige Analyse-File schickt der Benutzer an den Sony DADC Endkundensupport, um das Problem zu beheben. Um Fälschungen und das Risiko der Umgehbarkeit des Kopierschutzes auszuschließen, werden alle im sogenannten .sr0-File gespeicherten Daten verschlüsselt abgelegt. Der Benutzer selbst hat keinen direkten Zugriff auf die im .sr0-File gesammelten Daten.
Datenschutz und die Sicherheit der Nutzer sind für Sony DADC oberste Priorität.
Sony DADC hält sich bei der Entwicklung von SecuROM und der Verarbeitung und Speicherung von Daten während des Support-Prozesses an sehr strikte Datenschutz- und IT-Sicherheitsstandards. Um sicherzustellen, dass die entsprechenden Anforderungen erfüllt werden, hat die Geschäftsführung von Sony DADC entschieden, die Standards durch eine unabhängige, neutrale Organisation beurteilen und durch ein Zertifikat dokumentieren zu lassen.

Ablauf des IT-Sicherheits- und Datenschutz-Audits
Während eines durch die TÜV TRUST IT TÜV Austria GmbH durchgeführten ITSicherheits- und Datenschutz-Audits wurden eine Reihe technischer und organisatorischer Prüfungen und Bewertungen durchgeführt. Eine wesentliche Voraussetzung zur Erteilung des „Trusted Procedure“ Zertifikats ist die Befolgung des deutschen „Bundesdatenschutzgesetzes“ (BDSG), eines der strengsten Datenschutzgesetze weltweit. Die Prüfung erfolgte in Kombination mit organisatorischen Audits auf der Grundlage des internationalen Standards ISO 27001:2005. Weiterhin analysierten die Experten des TÜV die Technologie und Verschlüsselung der SecuROM-Analyse und -Produktaktivierung sowie den Prozess der Verarbeitung und Speicherung der Benutzer-Daten. Diese technischen Prüfungen stützten sich auf Standards wie beispielsweise ISO/IEC 18028.

Ergebnisse der Prüfung
Die Prüfung zeigte, dass alle Daten und Informationen, die das SecuROMAnalyseprogramm sammelt, ausschließlich für Produktaktivierung, Kopierschutz und Endkundensupport verwendet werden. Die sehr strengen Datenschutzanforderungen wurden voll erfüllt und die technischen wie organisatorischen Prüfungen konnten erfolgreich absolviert werden. Infolge dessen wurde Sony DADC das TÜV TRUST IT Zertifikat „Trusted Procedure“ verliehen. Mit diesem Zertifikat können alle Nutzer sicher sein, dass die von SecuROM verarbeiteten Daten absolut sicher, geschützt und geheim sind, und folglich die Privatsphäre der Benutzer gewahrt wird. Das Zertifikat hat eine Gültigkeit von drei Jahren und wird im Rahmen jährlicher Wiederholungs-Audits durch die Auditoren und Experten der TÜV TRUST IT auf seinen Fortbestand geprüft.

Über die TÜV Austria Gruppe
TÜV ist die Abkürzung für Technischer Überwachungs Verein. Es handelt sich um eine technische Prüforganisation, die dafür arbeitet, die Sicherheit von Produkten und Technologien aller Art zu gewährleisten und Menschen wie Umwelt gegen Bedrohungen zu schützen. Alle TÜVs sind unabhängige Organisationen, die darüber hinaus auch Zertifizierungen nach verschiedenen internationalen Standards durchführen.
Die TÜV Austria Gruppe strebt danach, technische Sicherheit zu gewährleisten, natürliche Ressourcen zu schützen und die Qualität von Produkten und Dienstleistungen zu verbessern. Die TÜV Austria Gruppe hat zahlreiche Akkreditierungen, Notifizierungen und Ermächtigungen erlangt und ist für ihre Kompetenz und ihre mittlerweile weltweite Aktivität angesehen. Angeschlossene Unternehmen, die sich auf Trainings und weitere Ausbildungstätigkeiten konzentrieren, sowie Niederlassungen in Österreich und im Ausland haben die Bandbreite der angebotenen Dienstleistungen noch vergrößert.
TÜV TRUST IT ist ein Unternehmen der TÜV Austria Gruppe und wird als der ITTÜV betrachtet. TÜV TRUST IT ist der neutrale, objektive und unvoreingenommene Partner für seine Kunden und hilft ihnen, IT-Risiken zu identifizieren, zu bewerten und damit umzugehen. Dank dieser Dienstleistungen haben die Kunden die Möglichkeit, von ihren Informationstechnologien und den damit verbundenen Prozessen verstärkt zu profitieren. Die von der TÜV TRUST IT angebotenen Dienstleistungen beinhalten IT-Sicherheit, Datensicherheit und Datenschutz, IT Service Management, IT Risiko Management sowie Usability Prüfungen.

Weitere Informationen:
http://www.it-tuv.com
http://www.securom.com

SOZIALE NETZWERKE WERDEN EINE IMMER WICHTIGERE QUELLE FÜR SPAMMER

Fri, 19 Jun 2009 09:09:00 +0200

Da sich immer mehr Personen weltweit über soziale Netzwerke verbinden, steigt die Attraktivität dieser Webseiten auch für Spammer rapide an. Die Spammer profitieren dabei besonders von dem Vertrauen und dem guten Ruf den soziale Netzwerke besitzen. So wurde beispielsweise "Twitter" im Mai zweimal Opfer von Spam-Attacken.

Anfang des Jahres knackte ein Hacker das Passwort eines Twitter-Mitarbeiters und erlangte dadurch Zugang zu den Twitter-Konten zahlreicher Prominenter, wie z.B. von US-Präsidenten Barack Obama. Es gibt auch zahlreiche Meldungen, wobei durch Phishing-Attacken Passwörter von Twitter-Usern ergaunert wurden, um danach in deren Namen Falschmeldungen zu verbreiten.

MS SCHLIESST 10 SCHWACHSTELLEN

Wed, 10 Jun 2009 11:38:00 +0200

Im Rahmen des aktuellen Patchdays von Microsoft wurde wieder eine Liste mit entdeckten Bugs samt dazugehöriger Fixes publiziert.

Folgende Bulletins hat Microsoft für Juni 2009 veröffentlicht:

Weitere Informationen entnehmen Sie bitte den offiziellen Webseiten von Microsoft.

CROSS-SITE-SCRIPTING FÜHRT HITLISTE VON SCHWACHSTELLEN AN

Mon, 25 May 2009 12:27:00 +0200

Die größte Gefahr für Firmenwebseiten ist Cross-Site-Scripting.

Weitere erkannte Sicherheitslücken waren vor allem Informationslecks, Content Spoofing, unzureichende Authentifizierung, unangemessene Authorisierung, SQL Injection sowie die Manipulation von Daten über Webanwendungen.

Gerne überprüfen unsere Experten Ihr aktuelles Sicherheitsniveau und helfen Ihnen gegebenenfalls erkannte Sicherheitslücken zu schließen!

HAFTSTRAFE FÜR FIRMENCHEFS BEI DATENVERLUST?

Tue, 19 May 2009 12:39:00 +0200

Trotz einer Reihe von Datenschutzskandalen, die in den letzten Monaten an die Öffentlichkeit gelangt sind, wird das Thema "Informationssicherheit" von vielen Führungskräften noch immer sehr fahrlässig behandelt.

Kommen Sie auf die sichere Seite - die Experten der TÜV TRUST IT unterstützen Sie gerne dabei, Ihre Informationen entsprechend zu schützen und Ihrem Unternehmen zu helfen, auch zukünftig nicht von einem derartigen Skandal betroffen zu sein.

Mehr zu dieser Umfrage finden Sie hier:
www.securitymanager.de/magazin/artikel_2111.html

KRIMINALITÄT DURCH GEFÄLSCHTE SUCHMASCHINEN

Mon, 11 May 2009 15:02:00 +0200

Die Links auf solchen Seiten leiten die ahnungslosen Nutzer zu infizierten Webseiten, um dort Schad-Code auf die Rechnersysteme zu transferieren. Deshalb warnen Sicherheitsexperten vor der Nutzung unbekannter Suchmaschinen.

Vor dem Hintergrund eines gestiegenen Bewusstseins der Benutzer ist jedoch ein Trend hin zu unverfänglichen Seiten beobachtbar. Entweder wird Schadcode in seriöse Seiten eingebettet oder es gehen komplette Plagiate integerer Plattformen wie Suchmaschinen online.

Experten empfehlen daher, ausschließlich vertrauenswürdige Suchmaschinen zu benutzen und Webseiten, die offensichtlich besonders attraktive Inhalte anpreisen, mit erhöhter Vorsicht zu genießen.