IT-Audit.de

Impressum
Mediadaten

IT-Audit.de > Meldungen I. Quartal 2004

Anzeigen

Meldungen zur IT-Revision, IT-Security und zum Datenschutz - I. Quartal 2004
Übersicht

22. März 2004

Die IEC Revidata AG hat freundlicherweise zwei Artikel zur Verfügung gestellt. Im ersten Artikel geht es um das Outsourcing der IT (pdf 121 kb). Der zweite Artikel stellt eine Methode zur IT-Risikoanalyse vor (pdf 262 kb).

Das BSI hat eine Methode zur Risikoanalyse auf Basis der IT-Grundschutz-Handbuchs erarbeitet, mehr

Das Tool asbSuperACL zur Zugriffsrechteanalyse bei Windows NT/2k/XP stellt die asb Systemhaus Gmbh in einer kostenlosen Evaluierungsversion (Laufzeit 30 Tage) zur Verfügung.

Das RUS Cert und heise Security melden, dass sich der Wurm Witty über eine Sicherheitslücke in Produkten von ISS verbreitet

Die F.-J. Lang IT-Security Consulting GmbH startet eine neue Sicherheitsinitiative die einen ganzheitlichen Ansatz zur IT-Sicherheit verfolgt, mehr auf der Webseite HSE-Projekt

Als zweiter SAP Outsourcer, nach der TDS Informationstechnologie AG, hat jetzt die SAP Systems Integration AG ein IT-Grundschutzzertifikat erhalten.

15. März 2004

heise Security berichtet über Schwachstellen in Sun Solaris und Java System Web Server, mehr

Das RUS-CERT bemängelt in einem Advisory, dass bei Mozilla keine Informationen über behobene Schwachstellen herausgegeben werden, mehr bei heise Security

Ebenfalls bei heise Security ist ein interessanter Artikel zum Angriff über Routing-Protokolle erschienen.

8. März 2004

Die fgsec-Arbeitsgruppe "Sicherheit in SAP-Systemen" wird am 21. April 2004 in Zürich die in einer Studie aufgearbeiteten Ergebnisse der SAP-Grundschutzuntersuchung (siehe Meldung vom 02. Januar 2004) vorstellen, mehr

1. März 2004

Die Funktion “verwandte Seiten anzeigen” des Internet Explorers (realisiert über die Alexa Software) hat schon für private Benutzer bei Datenschützern keinen guten Ruf. Sie wird auch als “Spyware” bezeichnet. Auch Firmen sollten sich überlegen ob sie die Funktion standardmässig über die Registry deaktivieren oder andere Schutzmassnahmen ergreifen, denn über Alexa können Infrastrukturdetails nach aussen sickern. Schauen Sie doch einmal bei alexa.com nach. Geben Sie im Suchfeld von ihrer Firma benutzte Domains ein und schauen Sie dann unter “Traffic Details” ob es die Rubrik “Where do people go on ...” gibt und dort Namen (URLs) von internen Systemen auftauchen. Falls ja ist es zwar nicht dramatisch, andererseits geht es niemand etwas an. Ich denke ein guter Grund die Deaktivierung ins Auge zu fassen.

In mehreren Intrusion Prevention Produkten von ISS wurden Schwachstellen entdeckt, mehr bei heise Security

heise Security berichtet über eine Cross site scripting Schwachstelle in Mozilla bis Version 1.5

Das CERT hat seine Statistiken für 2003 aktualisiert. Die Anzahl der gemeldeten Vorfälle stieg um knapp 70 %, die Anzahl der gemeldeten Verletzbarkeiten war dagegen knapp 10 % geringer.

21. Februar 2004

Bei der Universität Mannheim gibt es einen Leitfaden zur “Auswahl elektronischer Handelsplattformen für KMU”. Als Einstieg ist er aber auch für grössere Unternehmen nicht verkehrt. Download (pdf 724 kb) bei der Universität Mannheim.

Beim Internet Explorer ist eine neue kritische Sicherheitslücke bekannt geworden. Diese ermöglicht es schon bei dem Besuch einer Webseite den Rechner mit einem Trojaner zu infizieren, mehr bei heise Security.

Oracle hat drei Security Alerts veröffentlicht, betroffen sind Oracle 9i Application Server, Database Server und Lite. Mehr bei heise Security.

Der c’t Redaktion ist es gelungen nachzuweisen, dass Virenautoren die Adressen von durch Trojaner verseuchten Rechnern an Spammer verkaufen. Dies lässt die oben beschrieben Sicherheitslücke des Explorers noch schwerwiegender erscheinen, mehr bei heise online.

Zur “Kommerzialisierung” des elektronischen Verbrechens passt auch eine (etwas ältere Meldung) bei Spiegel-Online.

18. Februar 2004

Für die letzte Woche veröffentlichte Sicherheitslücke in Windows ist der erste Exploit aufgetaucht. Es ist jetzt also allerhöchste Zeit den Patch einzuspielen, mehr bei heise Security

In dem letzte Woche aufgetauchten Windows Quellcode wurde die erste Sicherheitslücke gefunden, mehr bei heise Security

15. Februar 2004

Windows Quelltexte aufgetaucht, zunächst war umstritten ob die Quelltexte authentisch sind, inzwischen gab es eine Bestätigung von Microsoft, mehr bei heise online

Auf welchem Niveau sich die eine oder andere IT-Sicherheitsveranstaltung bewegen wird kann man hier nachlesen. Der Rest von der Diskussion ist ebenfalls interessant.

Bestätigte Sicherheitslücke in Bluetooth-Handys, mehr bei heise online

11. Februar 2004

Wichtiger Patch für Windows Systeme ab Windows NT. Microsoft hat am heutigen Patch Day für drei Sicherheitslücken Patches veröffentlicht. Insbesondere der Patch für die im Bulletin MS04-007 beschriebene Sicherheitslücke ist kritisch. Hektik ist nicht notwendig aber um ein vergleichbares Szenario wie bei LOVSAN/Blaster zu vermeiden sollte der Patch von den Anwendern unverzüglich eingesetzt werden. Weitere Meldungen zum Thema bei heise online und heise Security.

Das österreichische ISACA Chapter hat einen Vergleich von COBIT mit den Standards COSO, ITIL, ISO/IEC 17799:2000, ISO/IEC 13335, ISO/IEC 15408, TickIT and NIST 800-14 fertiggestellt. Das Dokument ist in englisch bei der ISACA verfügbar. Download von isaca.org (pdf 442 kb).

8. Februar 2004

Der DSAG Arbeitskreis Revision/Risikomanagement hat den Leitfaden Datenschutz für SAP BW in der Fassung 3.1 veröffentlicht. Download bei SAP (pdf 1.8 MB).

Die neue Version (Oktober 2003) des IT-Grundschutzhandbuchs ist jetzt auch online verfügbar. Neu sind Bausteine zu:

• Outsourcing
• Internet Information Server
• Apache Webserver
• Exchange/Outlook 2000
• Archivierung

Im Laufe der Woche berichtete heise Security über Sicherheitslücken in BSD, Checkpoints Firewall-1 und VPN-Gateways und im Real-Player

Ausserhalb des ‘Patch-Days’ gab es ein Update des Internet Explorers der kritische Sicherheitslücken beheben soll, mehr bei heise-security. Ein paar Tage später gab Microsoft einen weiteren Patch heraus, mehr bei heise-online

Die AERAsec Network Services and Security GmbH aus Hohenbrunn b. München hat weitere Untersuchungen zum Thema ‚Dekomprimierungsbomben’ durchgeführt – mit teilweise beunruhigenden Ergebnissen. Nicht nur Anti-Virus Software ist gegenüber solchen Bomben anfällig, sondern auch andere Software wie z.B. Browser. Dieses gilt für unterschiedlichste Komprimierungsverfahren und liegt daran, dass nicht alle Software-Hersteller in ihren Produkten berücksichtigen, dass eine Datei von z.B. 5.828 Byte entpackt 100 Gigabyte ergeben kann. Die Folgen variieren zwischen einem Absturz des PCs eines Benutzers bis hin zum Lahmlegen zentraler Server großer Unternehmen. Mehr bei AERAsec Network Services and Security GmbH.

1. Februar 2004

Nach einigen Monaten (relativer) Ruhe ist die Virensaison 2004 ist eröffnet, seit ca. einer Woche sorgen MyDoom.A und B für zusätzliche Arbeit und erhöhtes Mailaufkommen. Statistiken über Viren und Spam finden Sie zum Beispiel bei postini.

Die FTC hat zusammen mit 36 ähnlichen Behörden eine internationale Initiative gegen Spam gestartet, mehr bei heise-online.

Das Audit Department vom California Institute of Technology (Caltech) stellt ein Online-Audit-Tool für Windows bereit. Das Zero-Footprint Web Audit Tool (ZFPAudit) scannt Windows-Systeme nach verschiedenen Kriterien, zum Beispiel User-Accounts mit Passworteinstellungen, MSI-installierte Software, Logging-Einstellungen. Das funktionert auch über das Internet. Voraussetzungen sind allerdings: Administratorrechte am untersuchten PC, Internet Explorer mit ActiveX am untersuchenden PC, WMI auf beiden Systemen. Insofern ist der Einsatz höchtens in einem Intranet sinnvoll. Das Tool ist unter der GNU General Public License veröffentlicht und kann kostenlos eingesetzt werden. Ausserdem kann man es dadurch selber weiterentwickeln und um eigene Plug-Ins ergänzen. Ich denke man sollte es im Auge behalten.

Im Schwarzen Brett von Revision-Online.de gibt es jetzt die Funktion “Online-Zusammenarbeit”. Diese auf der “Wiki”-Technik basierende Funktion ermöglicht es auf einfache Weise gemeinsam Webseiten zu erstellen. Das erste Projekt ist ein Revisionshandbuch zu dem sich bereits einige “Mitstreiter” gefunden haben. Der Entwurf des Inhaltsverzeichnisses steht und einige Kapitel füllen sich auch schon mit “Leben”. Natürlich können auch spezielle IT-Revisions-Projekte gestartet werden. Schauen Sie doch mal rein und machen Sie mit!

24. Januar 2004

Auf der Webseite des deutschen Chapters der ISACA sind folgende Standards in deutscher Übersetzung verfügbar:

Allgemeine Standards

• Allgemeine Standards für die Durchführung von Prüfungen von Informationssystemen
• Richtlinie für die Durchführung von Prüfungen von Internet Banking Anwendungen

Verfahren in der EDV-Revision

• Verfahren zur Risikobewertung

In den letzten Wochen wurden mehrere Sicherheitslücken in Ciscos Voice Produkten bekannt, mehr bei heise-security

Der Microsoft Baseline Security Analyzer (MSBA) ist jetzt auch auf deutsch verfügbar. Informationen zu den Patches gibt es laut heise-security aber nur auf englisch. Bei meinem System konnte ich das Tool noch nicht testen - scheinbar ist der Serverdienst erforderlich und der ist bei mir deaktiviert.

IBM und SuSE erreichen für den Linux Enterprise Server eine Zertifizierung auf der Stufe EAL3 der Common Criteria, mehr bei heise-security

17. Januar 2004

Nach einer Untersuchung von AERAsec sind Antivirenscanner anfällig für Denial-of-Service-Attacken, mehr dazu in einer Meldung bei heise-online

Die scip AG in Zürich bietet den Besuchern von IT-Audit.de die Möglichkeit den IT-Sicherheitsinformationsdienst )pallas( drei Monate zu beziehen und nur zwei Monate zu bezahlen. Erfahren Sie hier mehr über )pallas(. Die Aktion läuft noch bis zum 15. April 2004.

Die Seminartermine für das zweite Quartal 2004 der secunet Security Networks AG sind da. Es gibt eine neue Seminarreihe “Netzwerksicherheitsspezialist”. Schauen Sie doch einmal in die Seminardatenbank.

09. Januar 2004

heise-Security berichtet über eine Sicherheitslücke in den Linux-Kernels 2.2, 2.4 und 2.6

[it-audit.net] ist eine neue Community zur Sicherheit und Prüfung von SAP-Systemen. Neben einem Diskussions- und Werbeforum finden sich dort Links und Downloads zu Artikeln, Präsentationen, Checklisten und Leitfäden, Literaturhinweisen und Tools.

Von Microsoft gibt es jetzt ein Tool mit dem man verborgene Informationen in Office-Dokumenten löschen kann, zur Meldung bei heise-online

Am 13. Januar ist Microsoft Patch-Day, zur Meldung bei heise-online

02. Januar 2004 - Allen Lesern wünsche ich viel Erfolg, Gesundheit und Freude im Jahr 2004 und bedanke mich für Ihr Interesse im vergangenen Jahr. Ich hoffe dass Sie IT-Audit und Revision-Online auch 2004 als Informationsmedium nutzen und freue mich auf Ihre Anregungen. Die letzten Wochen des vergangenen Jahres brachten noch einige interessante Neuigkeiten:

Die Arbeitsgruppe “Sicherheit in SAP-Systemen” der Fachgruppe Security des Schweizerischen Informatiker Verbandes (SI) stellt sich mit einem “Grundschutz-Assessment” für SAP-Systeme vor. Weitere Informationen finden Sie hier.

Dass die Verbesserung der Sicherheit der SAP-Systeme notwendig ist, zeigt der Vortrag der Gruppe Phenoelit auf dem 20C3 des Chaos Computer Club (CCC). Unter Windows laufenden SAP-Server sind für Buffer-Overflows verwundbar. Die Gruppe hat entsprechende Demo-Software (Exploits) auf ihrer Webseite veröffentlicht. Bei heise-online gibt es eine ausführliche Meldung.

Wer die IT-Management-Suite LANDesk einsetzt hat ein Sicherheitsproblem. Dies berichtet jedenfalls heise-Security. Wenn auf den damit verwalteten Clients eine buchhaltungsrelevante Anwendung läuft ist auch die Ordnungsmäßigkeit in Frage gestellt.

Application Security Inc. veröffentlicht in einer Präsentation (pdf 290 kb) die wichtigsten Schritte um DB2 sicher zu konfigurieren, zur Meldung bei heise-Security.

Übersicht