Artikel-Schlagworte: „Sicherheitsberatung“

Android-Trojaner stiehlt Banken SMS

Wie auf itforensik.com/android-trojaner-stiehlt-banken-sms-3143.html zu lesen ist wurde der Trojaner SpyEye aufgerüstet und stiehlt nun Banken SMS von Smartphones und Tablet PCs als auch Netbooks – mit anderen Worten alles was unter Android so läuft.

Mit der Tojanersoftware auf dem Android kann somit SpyEye die mTAN abfangen, die in einer SMS versendet wird.

Originalartikel von: theregister.co.uk, 14.09.2011: Android banking trojan intercepts security texts

Ihre Jutta Staudach
Sicherheitsberatung Düsseldorf

Für Bürgerrechte, gegen Überwachung: Stoppt Indect

ein Artikel von Lars Lange

Die EU plant den Orwellschen Staat. Totale Überwachung. Begriffe wie Unschuldsvermutung oder gerichtsfester Beweis sollen keinerlei Bedeutung mehr haben.

Wir alle sind verdächtig. Wir alle müssen überwacht werden. Ohne Ausnahme. Grenzenlos immer und überall.

Das Zauberwort der EU heißt INDECT: Intelligent information system supporting observation, searching and detection for security of citizens in urban environment (Engl.; Dt.: Intelligentes Informationssystem zur Unterstützung von Überwachung, Suche und Erfassung für die Sicherheit von Bürgern in städtischer Umgebung)

http://de.wikipedia.org/wiki/INDECT
http://www.indect-project.eu/
http://www.zeit.de/digital/datenschutz/2009-09/indect-ueberwachung
http://files.piratenpartei.de/indect/INDECT_Deliverable_D1.1_v20091029.pdf
http://files.piratenpartei.de/indect/INDECT_Deliverable_D9.4_v20100127.pdf

Damit dürfte der Orwellsche Staat Wirklichkeit werden. Ein Überwachungsapparat wird installiert, der Mielkes oder Stalins feuchte Träume wahr werden lässt. Auf dem Boden der EU.

Grundrechte, Menschenrechte, Freiheitsrechte waren gestern.

Hier sind Aktionen gefragt. Offene Gesprächsrunden und Demos. Hier sollte jeder Liberale aktiv werden. Wie kann man Aktionen organisieren. Wer würde mitmachen. Was wir brauchen ist ein Netzwerk gegen Überwachung, für Bürgerrechte, für den Erhalt rechtstaatlicher Prinzipien, die hier ganz offen und unverholen abgeschafft werden.

aus der Xing Gruppe Politik – Xing Nutzer können die Diskussion hier mitverfolgen
https://www.xing.com/net/pria4dc9ax/politik/initiativen-4142/fur-burgerrechte-gegen-uberwachung-stoppt-indect-34894796/p0

Interview mit dem FDP Europaparlamentarier Alexander Alvaro zum Thema INDECT finden geneigte Leser hier
http://www.dradio.de/dkultur/sendungen/thema/1367715/

Beste Grüße,
Ihre Jutta Staudach
Sicherheitsberatung Meerbusch

PCI DSS Audit PCI DSS Auditor

Payment Card Industry Data Security Standard

aus Wikipedia, der freien Enzyklopädie

Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.

Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

1. Installation und Pflege einer Firewall zum Schutz der Daten
2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
3. Schutz der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
5. Einsatz und regelmäßiger Update von Virenschutzprogrammen
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
7. Einschränken von Datenzugriffen auf das Notwendige
8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

PCI basiert auf dem Visa-Account-Information-Security-Programm (AIS und dessen Schwesterprogramm CISP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

Die Einhaltung der Regeln wird üblicherweise in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft:

* Händler oder Dienstleister, die mehr als 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, bereits einem Angriff erlagen, von einem anderen Kartenunternehmen als „Level 1“ eingestuft wurden oder bei denen Kartendaten kompromittiert wurden, müssen ihr Rechnernetz vierteljährlich mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) prüfen lassen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eines eigens dazu ernannten Sicherheitsbeauftragten durchführen lassen.
* Händler, die zwischen 20.000 und 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, müssen ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Approved Scanning Vendor (ASV) vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI-Fragebogen (Self-Assessment Questionnaire, SAQ)) ausfüllen.
* E-Commerce Händler, die weniger als 1 Mio. Kreditkartentransaktionen pro Jahr abwickeln (Level 3 und 4), müssen ab dem 1. Oktober 2009 einen PCI DSS-zertifizierten Service Provider mit der Abwicklung der kompletten Kreditkartentransaktionen beauftragen oder ihrem Acquirer die eigene PCI DSS-Zertifzierung durch Ausfüllen des PCI Self-Assessment Questionnaire (SAQ) und ggf. Durchführung eines vierteljährlichen Sicherheitsscan durch einen vom PCI Security Standards Council zugelassenen Approved Scanning Vendor (ASV) nachweisen. (Visa Member Letter VE 33/08 vom 24. September 2008)

Aktuell suche ich für einen Bekannten in der Nähe von Frankfurt am Main 1-2 Mitarbeiter die sich zum QSA weiterbilden wollen und Erfahrung in mindestens einem dieser Bereiche mitbringen:

Umfangreiche Erfahrungen in der IT Sicherheit
Kenntnisse gängiger Sicherheitsstandards, wie ISO 27001 oder BSI Grundschutz
Kenntnisse im Umfeld des PCI DSS
Zertifikat als CISSP, CISM oder CISA oder eine vergleichbare Zusatzausbildung
Spezialist für Netzwerk- und Systemsicherheit

Für weitere Informationen kontaktieren Sie mich unter info@jutta-staudach.de

Ihre Jutta Staudach
CISA, CISM

Sicherheitsberatung Düsseldorf

Payment Card Industry Data Security Standard PCI DSS Sicherheitsstandard

Wie Heise Online Gestern Mittag meldete hat Visa hat die Sicherheitszulassung für zwei Kartenterminals (3070MP01 und i3070EP01) des Herstellers Ingenico zurückgezogen. Daneben hat VISA eine Liste nicht PCI konformer Geräte veröffentlicht. Die oben genannten Geräte hatten jedoch die PCI Zulassung.

Visa gibt auch erstmals zu, dass ein PCI konformer Händler Betrugsopfer wurde. Dies ist neu.

2008 kamen jedoch US Ermittler und MasterCard einer „Bande“ auf die Schliche, die, die Terminals bereits vor Auslieferung manipulierten, hierbei nutzt es nichts mehr wenn die Identität der Wartungstechniker überprüft wird, und deren Arbeiten genau beobachtet werden, um Manipulationen wie diesmal geschehen vor zu beugen.

In diesem Falle wurden die mit den manipulierten Terminals ausgelesenen Daten per Mobilfunk nach Pakistan gesendet.

Jutta Edith Staudach
CISA, CISM

Sicherheitsberatung Düsseldorf

Internet Blog Verzeichnis TopOfBlogs Blogverzeichnis blogoscoop Blog Top Liste - by TopBlogs.de Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis IT-Beratung

XML Sitemap | Copyright © 2010 Jutta Staudach. All Rights Reserved. | Konzeption & Gestaltung crsMedia Ltd.