25.02.14 - Compliance- & Governance-Newsletter


Videoüberwachung, Handyortung, Internetüberwachung – Sicherheitsbehörden bedienen sich immer mehr technischer Mittel, um Straftaten zu verfolgen oder die öffentliche Sicherheit zu schützen
Die Deutsche Bundesregierung soll nach dem Willen der Fraktion Bündnis 90/Die Grünen von der geplanten Wiedereinführung der Vorratsdatenspeicherung von Telekommunikationsverkehrsdaten absehen



25.02.14 - Daimler Compliance Akademie: "Praxisseminar Compliance" vom 27. bis 29. April 2014 in Bad Herrenalb (Schwarzwald)
Vom 27. bis 29. April 2014 findet in Bad Herrenalb (Schwarzwald) die Daimler Compliance Akademie statt – ein Seminarangebot von Praktikern für Praktiker. Die zweieinhalbtägige Veranstaltung richtet sich an Geschäftsführer und Führungskräfte aus allen Branchen, die mit Compliance-Fragestellungen zu tun haben. Ziel des Seminars ist es, die langjährige Erfahrung von Daimler im Bereich Compliance mit anderen Unternehmen zu teilen und zu vermitteln, wie eine wertegeprägte Unternehmensführung zum Geschäftserfolg beiträgt. Die Referenten stellen das Compliance Management System von Daimler vor und erläutern praxiserprobte Prozesse, Instrumente und Lösungsansätze.

25.02.14 - PCI DSS 3.0 verschärft Schutz von Kreditkarten-Transaktionen und forciert Erfassung von Log-Daten
Die neue Version 3.0 des PCI-DSS-Standards (Payment Card Industry Data Security Standard) sieht erheblich schärfere Sicherheitsregeln für alle Unternehmen vor, die Kreditkarteninformationen verarbeiten. Das sind Handelshäuser, Abrechnungsfirmen, Banken, Service-Provider. Ein umfassendes und effizientes Sammeln und Verwalten von Log-Dateien ist damit wichtiger denn je. Die Log-Management-Lösungen von BalaBit übernehmen diese Aufgabe zuverlässig und lückenlos.
Die Schäden durch Kreditkartenbetrug gehen weltweit in die Millionen. Alleine bei einem besonders dreisten Fall in den USA entstand im vergangenen Jahr nach Angaben des FBI ein Schaden von 200 Millionen Dollar. Um den Missbrauch von Kreditkarteninformationen zu unterbinden, trat am 1. Januar 2014 die Version 3.0 des PCI-DSS-Standards des Payment Card Industry Security Standard Councils in Kraft. Die erweiterte Ausgabe der Spezifikation, deren erste Version bereits 2004 vorgestellt wurde, sieht strengere Sicherheitsvorgaben für die Inhaber von Kreditkarten sowie alle Unternehmen vor, die Kreditkarten-Daten erfassen, weitergeben und bearbeiten. Das gilt sowohl für Informationen über den Nutzer einer Karte als auch für Authentifizierungsdaten.
"Die neue Version der PCI-DSS-Regelungen unterstreicht, dass ein Log-Management ein unverzichtbarer Teil der 'Best Practices' im Bereich IT-Sicherheit ist, speziell bei der Absicherung von Finanztransaktionen mittels Kreditkarte", betont Zoltán Györkő, CEO von BalaBit IT Security.
Vorgaben für das Log-Management in Version 3.0 des PCI-DSS-Standards
>> Requirement 10.2.5:
Das Log-Management-System muss Änderungen an den Accounts von Administratoren und Usern mit Root-Zugriffsrechten dokumentieren, etwa ob entsprechende Accounts erstellt oder gelöscht wurden. Dies soll verhindern, dass Angreifer oder illoyale eigene Mitarbeiter solche Nutzerkonten missbrauchen.
>> Requirement 10.2.6: Nicht nur der Start von Logging-Vorgängen muss dokumentiert werden, sondern auch Unterbrechungen und Pausen. Dies soll verhindern, dass Kriminelle die Spuren ihrer Aktivitäten beseitigen, indem sie das Log-Management-System zeitweilig deaktivieren.
>> Requirement 10.6: Die Vorschrift legt explizit fest, welche Ereignisse (Events) täglich analysiert werden müssen und welche in regelmäßigen Abständen. Die Grundlage dafür bilden Regeln für das Risikomanagement. Explizit untersucht werden müssen Sonderfälle und Anomalien.
>> Requirement 10.7: Nichts geändert hat sich dagegen an der Aufbewahrungsfrist der Log-Daten. Sie beträgt weiterhin ein Jahr. Davon müssen die Daten der letzten drei Monate IT-Sicherheitsfachleuten unmittelbar zur Verfügung stehen. Diese Regelung stellt sicher, dass auch länger zurückliegende Vorfälle aufgeklärt werden können. Zudem lässt sich dadurch der Zeitraum eingrenzen, in denen Kreditkartendaten entwendet oder missbraucht wurden.
>> Requirement 5.2: Diese Regelung verlangt explizit, dass auch Anti-Viren-Programme Log-Daten zur Verfügung stellen. Auch diese Informationen müssen ein Jahr aufbewahrt werden.

25.02.14 - Mögliche Kompromittierung ihrer SSL-verschlüsselten Kommunikation durch amerikanische Behörden
Zertifizierungsstellen – so genannte Certificate Authorities (CAs) – nehmen bei der Verschlüsselungspraxis via SSL eine zentrale Rolle ein. Sie stellen die für die Absicherung der Kommunikation erforderlichen Zertifikate aus, verifizieren und authentifizieren deren Inhaber als unabhängige Instanz. Im Zuge der Affäre um die Ausspähprogramme der NSA werden immer häufiger Befürchtungen laut, dass sich auch die wichtigsten SSL-Zertifizierungsstellen mit Sitz in den USA ähnlich wie Google, Microsoft & Co. dortigen Anordnungen, sich an staatlichen Überwachungsmaßnahmen im großen Stil zu beteiligen, wohl nicht entziehen könnten. Die Verunsicherung unter den Anwendern ist entsprechend groß. Schließlich sind viele der größten CAs in den Vereinigten Staaten ansässig.

25.02.14 - Videoüberwachung, Handyortung, Internetüberwachung: Wie denken Bürger über Themen der öffentlichen Sicherheit?
Videoüberwachung, Handyortung, Internetüberwachung – Sicherheitsbehörden bedienen sich immer mehr technischer Mittel, um Straftaten zu verfolgen oder die öffentliche Sicherheit zu schützen. Wie denken Bürger darüber? Sind sie besorgt über damit verbundene Eingriffe in ihre Privatsphäre und ihr Recht auf informationelle Selbstbestimmung? Welche Einbußen an diesen Freiheiten sind sie für welche Zwecke bereit zu akzeptieren? Empfinden sie staatliche Überwachungsmaßnahmen überhaupt als Eingriff in ihre Grundrechte?

25.02.14 - Können Lesegeräte für elektronische Bücher zollfrei in die Europäische Union (EU) eingeführt werden, nur weil sie auch über eine der Lesefunktion untergeordnete Wörterbuchfunktion verfügen
Mit Beschluss vom 12. November 2013 (VII R 13/13) hat der VII. Senat des Bundesfinanzhofs (BFH) dem Gerichtshof der Europäischen Union (EuGH) in einem Vorabentscheidungsersuchen die Frage gestellt, ob Lesegeräte für elektronische Bücher zollfrei in die Europäische Union (EU) eingeführt werden können, nur weil sie - auch - über eine der Lesefunktion untergeordnete Wörterbuchfunktion verfügen. Lesegeräte für elektronische Bücher - sog. E-Book-Reader wie beispielsweise der "Kindle" - erfreuen sich zunehmender Beliebtheit. Für Unternehmen, die derartige Geräte verkaufen, ist es deshalb von hohem wirtschaftlichen Interesse, ob diese Geräte zollfrei in die EU eingeführt werden können oder ob ein Zoll bei der Einfuhr zu entrichten ist.

25.02.14 - Antrag: Grüne für Verzicht auf Vorratsspeicherung
Die Deutsche Bundesregierung soll nach dem Willen der Fraktion Bündnis 90/Die Grünen von der geplanten Wiedereinführung der Vorratsdatenspeicherung von Telekommunikationsverkehrsdaten absehen. In einem Antrag fordert die Fraktion die Regierung zugleich auf, sich auf europäischer Ebene "mit aller Kraft dafür einzusetzen, dass die bestehende EU-Vorratsdatenspeicherungsrichtlinie umgehend aufgehoben wird".


####################

Sie wollen täglich informiert sein, haben aber keine Zeit, jeden Morgen durchs Internet zu surfen?

Dann lassen Sie sich durch unseren kostenlosen E-Mail-Service topaktuelle News aus der Compliance- und IT-Security und SaaS/Cloud-Branche nahebringen.

Das Redaktionsteam von Compliance-Magazin.de hat die wichtigsten tagesaktuellen Geschehnisse für Sie zusammengetragen - ein Klick auf die entsprechenden Links und Sie befinden sich an den gewünschten Plätzen bei Compliance-Magazin.de und IT SecCity.de und SaaS-Magazin.de - einfacher geht´s wirklich nicht!

Klicken Sie hier, um den Newsletter-Service zu abonnieren.
Sie erhalten dann in wenigen Minuten eine E-Mail vom System. Bitte klicken Sie auf den Link in der E-Mail und schicken Sie uns eine Bestätigung Ihrer Bestellung.

Der Newsletter wird im html-Format versendet.
Bitte denken Sie daran, den Newsletter bei Ihrem IT-Administrator auf die White-List setzen zu lassen.


####################


Weitere Meldungen

24.02.14 - Compliance im Finanzwesen: Neue Aufsichtsregeln in den USA benachteiligen europäische Banken

24.02.14 - Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) weist darauf hin, dass nicht nur Facebook und WhatsApp, sondern potenziell die dort vorhandenen personenbezogenen Datenbestände verschmolzen werden

24.02.14 - Bundesarbeitsgericht: Insolvenzanfechtung von im Wege des Bargeschäfts erfolgten Lohnzahlungen

24.02.14 - Umsatzsteuer: Einschränkung der Pflicht zur Vorfinanzierung

24.02.14 - Amazon haftet nicht ohne Kenntnis für Wettbewerbsverstöße des Drittanbieters auf der Marketplace-Plattform

24.02.14 - Neue generische Top-Level-Domains rufen Cybersquatting hervor

24.02.14 - Für global tätige Unternehmen zählen regulatorische Auflagen und Fragestellungen zu den größten Herausforderungen ihrer Geschäftstätigkeit


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen