2. Juni 2015

Veröffentlichungen

Beide Gesellschafter der ProKoSi publizieren in regelmäßigen Abständen Fachartikel im Umfeld der Informationssicherheit in unterschiedlichen Medien. In der Folge finden Sie Auszüge und die Verweise zu den entsprechenden Veröffenlichungen:

 

Wilhelm Büchner Hochschule, Darmstadt (Thomas Stasch)
Grundlagen eines sicheren IT-Betriebs (Studienheft SRN02)
Studienheft für die Vertiefung zur Informationssicherheit in Master- und Bachhelor-Studiengängen der Hochschule

 

Wilhelm Büchner Hochschule, Darmstadt (Thomas Stasch)
Physische Sicherheit und Hochverfügbarkeit (Studienheft SRN01)
Studienheft für die Vertiefung zur Informationssicherheit in Master- und Bachhelor-Studiengängen der Hochschule

 

<kes>, 3/2016 (Michael Phan, Thomas Stasch)
Leben mit Lücken

Was blüht der kommunalen Anwendungslandschaft: Wandel oder Verfall?

Nischen-Software leidet häufig unter Bedingungen, die aus der Mischung von viel Spezialisierung und wenig Anbietern resultieren – für die Sicherheit meist eine heikle Situation. Am Beispiel der kommunalen Anwendungslandschaft stellt sich die Frage, wie es weitergeht: Wandel oder Verfall?

https://www.kes.info/archiv/heft-archiv/jahrgang-2016/ausgabe-20163/

 

EILDIENST, Landkreistag Nordrhein-Westfalen, 06/2016 (Michael Phan, Thomas Stasch)
Ignoranz der Informationssicherheit im Öffentlichen Dienst – IT-Security meets Amtsdeutsch

Gehören Sie auch zu den Menschen, die sich immer wieder fragen, warum die Informationssicherheit in deutschen Behörden nicht so richtig wahrgenommen wird oder warum die Flüchtlinge Ihnen in letzter Sekunde das Budget für die Advanced Threat Protection (regelbasiertes Vorwarnsystem, welches die Eingaben unterschiedlicher Systeme entgegen nimmt und bewertet) abgraben, obwohl sie Ihren Bürgermeister gerade erst von der Sinnhaftigkeit dieser Investition überzeugt hatten?

http://www.lkt-nrw.de/Verbandszeitschrift/Eildienst2016.aspx

 

ix – Heise Verlag, 5/2016 (Michael Phan, Thomas Stasch)
Titelstory „Erpressersoftware“ – Daten als Geisel – Warum „Ransonware as a Service (noch) kein Trend ist“

Die unfreiwillige Verschlüsselung der eigenen Daten durch Kriminelle beherrscht derzeit die Schlagzeilen. Ob Privatnutzer oder Unternehmen – wer kein aktuelles Backup hat, sitzt in der Tinte. Was steckt hinter diesem Phänomen und wie kann man sich davor schützen?

https://shop.heise.de/katalog/daten-als-geisel

 

<kes>, 4/2015 (Michael Phan)
Der optimierte Schaden

Alternativer Rechenweg für praxisnäheres Risikomanagement

Schäden im IT-Umfeld sind meist nicht-linear und beschränkt – die übliche einfache Risikoformel passt dazu nicht. Wer mehr Aufwand betreibt, um potenzielle Schäden zu modellieren, hat bessere Möglichkeiten, sein Risikomanagement sinnvoll zu begrenzen.

https://www.kes.info/nc/archiv/heft-archiv/jahrgang-2015/ausgabe-20154/

 

<kes>, 1/2015 (Michael Phan, Thomas Stasch)
Malware-Analyse und die Methode der Triage

Stellt man einen Hackerangriff in einem System fest, so ist man in der Regel nicht nur um sofortige Schadensbegrenzung und diverse eindämmende Maßnahmen bemüht, sondern beauftragt in der Regel auch einen IT-Forensiker oder ähnlichen Experten mit der Aufklärung des Vorfalls.

Um einen möglichst effizienten Einsatz von knappen Ressourcen vorzunehmen, bedienen sich Feldmedizin und Katastrophenschutz dem Mittel der Triage1 zur Priorisierung. Plakativ in Szene gesetzt findet sich dieses Vorgehen immer wieder in entsprechenden Filmproduktionen, wenn in Katastrophenfällen eine Kategorisierung der Verletzten erfolgt: Rotes Bändchen für eine unmittelbare Behandlung, gelbes für eine Behandlung innerhalb der nächsten x Stunden und ein blaues Bändchen für jene, wo sich eine Behandlung nicht mehr lohnt.

https://www.kes.info/nc/archiv/heft-archiv/jahrgang-2015/ausgabe-20151/

 

Tec-Channel 3/2015 (Michael Phan, Thomas Stasch)
So arbeiten Hacker und Cyber-Kriminelle

Wann immer sich Unternehmen oder Kommunen mit der Bedrohung durch Hacker auseinandersetzen müssen, so gibt es eigentlich nur zwei Szenarien – entweder die Gefahr wird hoffnungslos unterschätzt oder, dem Fernsehen sei Dank, man mystifiziert den Hacker zu einer dunklen, omnipotenten Gestalt mit mysteriösem Geheimwissen…

http://www.tecchannel.de/sicherheit/management/3195799/bedrohungen_erkennen_und_abwehren_so_arbeiten_hacker_und_cyber_kriminelle/

 

Vitako intern 3/2014 (Michael Phan, Thomas Stasch)
Die Büchse der Pandora

Wann immer man sich einen Pentester und IT-Forensiker ins Haus holt, geht es um zentrale Fragen der Informationssicherheit – entweder präventiv oder im Nachgang eines Vorfalls. In beiden Fällen sind die Ergebnisse oft verheerend. Datenschützer Michael Phan und IT-Sicherheitsbeauftragte Thomas Stasch, beide aus dem Hause civitec, plädieren für eine konsequente Sensibilisierung von IT-Beschäftigten und politisch Verantwortlichen für IT-Sicherheit und deren Gefahren…

http://www.vitako.de/Publikationen/Documents/Vitako_intern_3-2014_final.pdf

 

<kes> 5/2013 (Michael Phan, Thomas Stasch)
Kommunale IT-Sicherheit effektiv organisiert

Gemeindeprüfungsanstalten schauen immer häufiger auf die Informationssicherheit – wissend, dass sich in den enormen Datenbeständen, der teilweise maroden IT und den ausgetretenen Pfaden menschlichen Verhaltens die wahren Risiken für eine Kommune verbergen. Der Aufgabe, den daraus resultierenden Anforderungen zu begegnen, stellen sich Städte und Gemeinden auch aus Kostengründen am besten im Rahmen eines Zweckverbands…

http://2014.kes.info/archiv/material/behoerden2013/behoerden2013.pdf

 

TÜV Media, Kapitel 03300 Information Security Policy (Dieter Burgartz, Michael Phan)
Information Security Management, 37. Aktualisierung vom Dezember 2012

Die Information Security Policy (auch mit IT-Security Policy oder Informationssicherheitsleitlinie bezeichnet) ist eine Eklärung der Unternehmensleitung zu den Zielen, Grundsätzen, Schwerpunkten und Verantwortlichkeiten der Informationssicherheit in Unternehmen. Die Erklärung kann zudem auch als Maßstab für die Beurteilung der Vollständigkeit, Wirksamkeit und Angemessenheit eines Informationsschutzsystems angewendet werden…

http://www.tuev-media.de/produkte/90711-information-security-management.php

 

IT-Grundschutz 5/2012 (Michael Phan)
Flexibler Arbeitsort vs. Datenschutz

Bring your own device (BYOD) ist ein Megatrend in den Firmen weltweit. Aber nicht nur in der Privatwirtschaft wollen Mitarbeiter ihre mobilen Endgeräte teilweise beruflich nutzen, auch in der öffentlichen Verwaltung hält dieser Trend Einzug. Welche Folgen hat das für die schützenswerten persönlichen Daten, mit denen diese Benutzer oft umgehen?

http://corporate-trust.de/pdf/Grundschutz-5-2012-WEB.pdf

 

IT-Grundschutz 3/2012 (Thomas Stasch)
Security Problem Management ITIL meets Information Security Management

Dass die Adaption von ITIL auf die IT-Security zu einem Mehrwert führen. Eine konsequente Implementation würde den Prozess des Security Problem Managements zur Folge haben.

https://www.kes.info/archiv/heft-archiv/jahrgang-2012/ausgabe-2012-2/