IT-Audit.de

Impressum
Mediadaten

IT-Audit.de > Meldungen III. Quartal 2003

Anzeigen

Meldungen zur IT-Revision, IT-Security und zum Datenschutz - III. Quartal 2003
Übersicht

17. September 2003 - Links zum Zentrum für sichere Informationstechnologie-Austria (A-SIT) aufgenommen.  Das A-SIT gibt unter anderem “Das österreichische IT-Sicherheitshandbuch” heraus.

15. September 2003 - heise-online berichtet über einen neuen Patch für die RPC/DCOM-Lücken in Windows. Sie erinnern sich an Blaster/Lovsan?

7. September 2003 - neuer Artikel bei IT-Audit.de - Jan Jürjens und Lidiya Buda beschäftigen sich in Ihrem Artikel “Entwurfsprinzipien und Entwurfsmuster für sichere Systeme” mit Sicherheitsmaßnahmen bereits in der Softwareentwicklung, download als pdf (32 kb).

7. September 2003 - wie heise-online meldet gibt es einige Security-Updates von Microsoft:

• zur Meldung über Visual Basic for Applications - über VBA sind natürlich mehrere Anwendungen betroffen (Microsoft Bewertung: critical)
• zur Meldung über Word, Works, Office Suite, FrontPage, Publisher (Microsoft Bewertung: important)
• zur Meldung über eine Schwachstelle im Access Snapshot Viewer (Microsoft Bewertung: moderate)

2. September 2003 - das CSRC (Computer Security Resource Center) des NIST hat ein IT-Sicherheit-Bewertungsschema (Security Metrics Guide for IT Systems, pdf 669 kb) veröffentlicht. Zuerst erläutert das NIST die Vorgehensweise (Methode/Prozess) und stellt dann im Anhang ausführliche Beispielfragebögen zur Verfügung. Nach dem ersten Durchlesen erscheint mir die Veröffentlichung ziemlich spannend, weil:

• die Fragebögen lassen sich nicht nur zum Aufbau eines Kennzahlensystems im IT-Security-Bereich nutzen, sondern können auch (entsprechend gekürzt) zur einmaligen Standort- oder Risikobestimmung dienen
• die Methode müsste sich auch für den Aufbau der Bewertung eines IKS anpassen lassen

2. September 2003 - Vorschau: Mitte September wird ein Artikel von Jan Jürjens und Lidiya Buda zum Thema Sicherheit in der Softwareentwicklung bei IT-Audit.de erscheinen.

2. September 2003 - Christoph Wildensee hat freundlicherweise zwei weitere Artikel zur Verfügung gestellt:

• Manipulationsmöglichkeit im Rahmen der SAP-Tabellenänderungsberechtigung anhand eines Beispiels - Download (pdf 64 kb) erschienen im ReVision III/2003
• Tabellen-Debugging in SAP R/3 - eine unterschätzte Gefahrenquelle in der Administration - Download (pdf 338 kb) erschienen im ZIR 4/2003

24. August 2003 - Neuer Artikel bei IT-Audit.de - Frank Dittrich beschäftigt sich in seinem Artikel mit der Sicherheit der SAP-Passwörter. Dabei zeigt er nicht nur die Risiken auf, sondern macht auch konkrete Verbesserungsvorschläge, download des Artikels als pdf (51 kb).

24. August 2003 - Die ISACA hat ihre Webseite neu gestaltet. Einige grundlegende Informationen zur ISACA sind jetzt auch in Deutsch erhältlich. Voraussichtliche Veröffentlichungstermine gibt es für COBIT Quickstart (01. Oktober 2003) und COBIT Online (29. September 2003) - COBIT-On the Horizon. Zu den COBIT gibt es auch einige Artikel, allerdings sind die meisten nur für Mitglieder zugänglich.

24. August 2003 - Das iX hat einen interessanten Artikel zu rechtlichen Aspekten bei Open Source Software veröffentlicht.

24. August 2003 - heise-security informiert über Security-Updates für Oracle 9i Rel. 2 und den Internet Explorer

06. August 2003 - die IEC Revidata AG hat freundlicherweise eine ausführliche Ausarbeitung mit dem Thema “EDV-Revision und Datenschutz im Sinne der Datenschutzgesetzgebung” zur Verfügung gestellt, download (pdf 785 kb)

27. Juli 2003 - wie “traditionelle” Verbrecher den eCommerce “nutzen” beschreiben Artikel bei Spiegel-Online und heise-online. Dies sind Fragen die bei IT-Sicherheitsanalysen gerne vergessen werden:

• Was sind die betriebswirtschaftlichen Risiken?
• Wie können die “klassischen” Verbrecher das System ausnutzen,unterlaufen oder die Benutzer täuschen?

27. Juli 2003 - Der Artikel “W-LAN Hacking en passant” bei  heise-security beschreibt eine Wörterbuchattacke, die den Einbruch in ein Funknetz extrem beschleunigen kann - wenn das Passwort im Wörterbuch ist.

22. Juli 2003 - vor ein paar Tagen habe ich es noch in einem Seminar angesprochen: warum die verschlüsselte Verbindung beim Homebanking oder die Bank/das Rechenzentrum angreifen, wenn man an die Endgeräte der Kunden viel leichter kommt? Heute berichten heise-online und Spiegel-Online über einen entsprechenden Angriff in Südafrika. Zur Meldung bei heise-security oder zum Artikel bei Spiegel-Online.

22. Juli 2003 - Bei heise-security gibt es einen interessanten Artikel zum Thema Rootkits, zum Artikel

09. Juli 2003 - Die KoSiB eG veranstaltet monatlich einen Managers Brunch zu aktuellen Themen der IT-Sicherheit aus dem Blickwinkel der Geschäftsleitung. Weitere Informationen, Themen und Termine finden Sie hier.

03. Juli 2003 - c’t eröffnet IT-Sicherheits-Portal. Die Redaktion von c’t möchte hier jeden Tag aktuelle Sicherheitsinformationen zur Verfügung stellen. Außerdem gibt es Diskussionsforen, Hintergrundinformationen auch in Zusammenarbeit mit dem BSI, sowie Online-Security-Checks.

03. Juli 2003 - der Verband der deutschen Softwareindustrie (VSI) hat eine Studie zur Rechtssicherheit von Open-Source-Anwendungen veröffentlicht. Aufgrund des Herausgebers ist natürlich eine gewisse Vorsicht angebracht, jedoch lassen sich die angesprochen Probleme nicht wegdiskutieren. Andererseits erscheinen gewisse Punkte selbstverständlich, zum Beispiel dass die Abnehmer von Open-Source-Software kaum Anspruch auf Gewährleistung haben ... da gab es doch den alten Spruch vom geschenkten Gaul. Zur Meldung bei heise-online, zur Studie beim VSI oder download (pdf 927 kb) der Studie beim VSI.

03. Juli 2003 - Leider habe ich es erst jetzt mitbekommen: Das CERT hat ein Advisory zur Notes/Domino-Security veröffentlicht

Übersicht