|
|
|
|
|
|
IT-Audit.de > Meldungen II. Quartal 2004
|
|
|
|
|
|
|
|
Anzeigen
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Meldungen zur IT-Revision, IT-Security und zum Datenschutz - II. Quartal 2004
aktuelle Meldungen - ältere Quartale
|
|
|
|
|
|
|
|
27. Juni 2004 |
|
|
|
|
|
|
|
Beim BITKOM gibt es eine “Mustervertragsanlage zur Auftragsdatenverabeitung”.
|
|
|
|
|
|
|
|
Das NIST hat einen Entwurf “Security Considerations for Voice over IP Systems” (pdf 1.200 kb) herausgebracht.
|
|
|
|
|
|
|
|
Wie heise Security berichtet wird zur Zeit verstärkt der Webserver IIS angegriffen. Anschließend werden die darauf liegenden Webseiten mit Scripten “verseucht”. Diese Scripte führen dazu, dass Besucher der Webseiten die den Internet Explorer nutzen sich mit einem Trojaner infizieren (siehe dazu auch die Meldungen vom 13.06.04). Dieser Trojaner protokolliert die Tastatureingaben, versendet sie und öffnet eine Backdoor auf dem Rechner. Außerdem soll er auch noch als Spam-Bot arbeiten.
In einer weiteren Meldung berichtet heise online wie Microsoft darauf reagiert hat. Microsoft stellt ein Advisory für IIS-Anwender zur Verfügung, außerdem wird Internet Explorer Anwendern empfohlen die Sicherheits-Einstellungen für die Internet-Zone auf hoch zu setzen und damit Active-Scripting zu deaktivieren. Als sicher bekannte Websites (die Active Scipting benötigen) sollen in die Liste der vertrauenswürdigen Sites aufgenommen werden. Leider gibt es im Explorer eine weitere ungepatchte Schwachstelle die es Webseiten ermöglicht die Rechte der vertrauenwürdigen Sites zu erhalten.
Nachtrag: inzwischen soll der Server von dem der Trojaner nachgeladen wird, abegeschaltet sein. Zur Meldung bei heise-online.
|
|
|
|
|
|
|
|
Nach einer Meldung von heise online legte bei einer schwedischen Krankenkasse der Wurm Korgo.C den Betrieb fast vollständig lahm. Da es Probleme mit der automatischen Patchverteilung gab, hätte die Krankenkasse den Patch manuell installieren müssen. Davon hatte sie bisher aus Zeitgründen abgesehen. Ein Entschluss den die Sicherheitschefin inzwischen als “völlig wahnsinnig” bezeichnet.
|
|
|
|
|
|
|
|
Eine andere Gefährdung ist die klassische Erpressung. Nach einer Meldung von heise wurden Online-Wettbüros mit DDoS-Attacken bedroht wenn sie kein Schutzgeld bezahlen. Unternehmen, die stark von ihrem Online-Auftritt sind, sollten diese Gefahr analysieren und gegebenenfalls in ihr Notfallhandbuch aufnehmen. Dann können sie im Fall des Falles schnell reagieren.
|
|
|
|
|
|
|
|
Mit der Sicherheit der privaten PCs beschäftigt sich IT-Audit.de ja nicht vordringlich. Aber hier ist eine gute Webseite zur sicheren Konfiguration von Privat-PCs unter Win 2000 und XP. Wer es noch bequemer haben will für den gibt es sogar eine Automatisierung.
|
|
|
|
|
|
|
|
20. Juni 2004 |
|
|
|
|
|
|
|
Auch bei dem Internet Browser Mozilla gibt es die Möglichkeit zu Sicherheitslücken wie ein Kommentar bei heise Security zeigt.
|
|
|
|
|
|
|
|
In den Linux-Kernels 2.4 und 2.6 existiert eine Sicherheitslücke die sich zu DoS-Attacken ausnützen lässt. Erste Patches sind bereits erschienen. Zur Meldung bei heise Security.
|
|
|
|
|
|
|
|
Auf der Webseite des Rechnungshofs Baden-Württemberg gibt es “Leitsätze zur Prüfung des IuK-Outsourcing” (pdf 68 kb)
|
|
|
|
|
|
|
|
Eine Sicherheitslücke in Bluetooth-Handys in der Kombination mit der SMS-Anmeldung an kostenpflichtigen WLAN-Hotspots der Anbieter Vodafone und und T-Mobile ermöglicht das Surfen auf Kosten Dritter. Wie heise Security berichtet bemerkt der Geschädigte dies erst mit der Monatsabrechnung. Zum Artikel bei heise Security.
|
|
|
|
|
|
|
|
|
|
|
|
13. Juni 2004 |
|
|
|
|
|
|
|
Über eine weitere Lücke im Internet Explorer ist es möglich allein durch den Besuch einer Webseite beliebige Programme auf den Rechner zu laden und auszuführen. Zur Meldung bei heise online. Mit dem c’t Browsercheck können sie überprüfen ob ihr Internet Explorer anfällig ist.
|
|
|
|
|
|
|
|
In der Oracle E-Business Suite gibt es eine Schwachstelle die SQL-Injection ermöglicht. Laut der Meldung von heise online gibt es einen Patch von Oracle.
|
|
|
|
|
|
|
|
Weiteres Ungemach gibt es für Benutzer des Real Players 10, auch hier gibt es Lücken welche die Ausführung von Code auf dem Rechner ermöglichen. Heise online berichtet.
|
|
|
|
|
|
|
|
Wie bereits im Forum erwähnt hat das BSI eine Sammlung von Musterrichtlinien und Beispielkonzepten veröffentlicht, im einzelnen:
- IT-Sicherheitsleitlinie
- Richtlinie zur IT-Nutzung
- Richtlinie zur Internet- und E-Mail-Nutzung
- Richtlinie zum Outsourcing
- Sicherheitshinweise für IT-Benutzer
- Sicherheitshinweise für Administratoren
- Viren-Schutzkonzept
- Datensicherungskonzept
- Notfallvorsorgekonzept
|
|
|
|
|
|
|
|
Die ISACA hat IT Control Objectives für den Sarbanes-Oxley Act veröffentlicht.
|
|
|
|
|
|
|
|
Am “Patch-Day” gab es von Microsoft Patches zu Lücken in DirectX und dem Crystal Reports Web Viewer. Beide Lücken werden mit dem Schweregrad “mittel” eingestuft.
|
|
|
|
|
|
|
|
Nach einem Bericht der c’t sind die Hälfte aller WLANs unzureichend geschützt und ermöglichen den Zugriff zum kostenlosen surfen oder sogar in Firmennetze.
|
|
|
|
|
|
|
|
6. Juni 2004 |
|
|
|
|
|
|
|
Computer-Panne in der britischen Flugsicherung legte für mehrere Stunden den britischen Flugverkehr lahm. Zur Meldung bei heise-online.
|
|
|
|
|
|
|
|
In Microsofts Technet gibt es einen kurzen Aufsatz (englisch) zur Säuberung eines kompromittierten Systems. Die Kernaussage (“The only way to clean a compromised system is to flatten and rebuild.”) vereinfacht allerdings zu sehr. Es kann durchaus Situationen geben in denen eine Säuberung unter Risiko- und Wirtschaftlichkeitsgesichtspunkten vertretbar sein kann. Auch heise-Security greift das Thema in dem Artikel “Reparieren oder Plattmachen?” auf.
|
|
|
|
|
|
|
|
Die ORGA GmbH hat verschiedene Checklisten entwickelt. Darunter zum Beispiel “Sicherheitsprofil von IT-Service Providern”, “Risiko-Analyse in der IT” und ein “Leitfaden zu Basel II” . Die Checklisten können Sie kostenlos bei der ORGA GmbH bestellen.
|
|
|
|
|
|
|
|
Gestresst vom letzten Prüfungs- oder Abschlussgespräch? Machen Sie doch mal kurz Pause, zum Beispiel mit der Online-Meditation von doIT-Online.
|
|
|
|
|
|
|
|
31. Mai 2004 |
|
|
|
|
|
|
|
Wie heise-online berichtet ist ein US-amerikanischer Spammer zu sieben Jahren Haft verurteilt worden.
|
|
|
|
|
|
|
|
Angeblich kursiert ein rsync-Exploit welcher Dateien löscht, zur Meldung bei heise-online.
|
|
|
|
|
|
|
|
Microsoft veröffentlicht Service Pack 1 und Spam-Filter für Exchange Server 2003.
|
|
|
|
|
|
|
|
Bei der Dresdner Bank soll es zu einem Fehler im Web-Interface des Internet-Banking gekommen sein. Das Betragsfeld ignorierte die Komma-Eingabe und machte damit aus einem Euro einhundert Euro. Zur Meldung bei heise-online.
|
|
|
|
|
|
|
|
21. Mai 2004 |
|
|
|
|
|
|
|
Bei der Bundesregierung und mehreren Universitäten kam es in der letzten Woche durch SPAM zu schweren Beeinträchtigungen des eMail-Verkehrs. Die Adminstratoren der TU Braunschweig mussten sogar die Viren- und SPAM-Filter ausschalten um die Mailauslieferung zu gewährleisten. Die Uni Berlin nimmt Mails mit bestimmten Anhängen nicht mehr an. Auch die Uni Freiburg berichtet von einem Mailbombardement.
|
|
|
|
|
|
|
|
Wie heise-online berichtet gehen im US-Atomwaffen-Labor Los Alamos mehr oder weniger regelmässig Datenträger verloren. Bemerkt wurde dies im Rahmen einer Inventur. Natürlich werden die wenigsten Unternehmen vergleichbare Sicherheitsbedürfnisse haben, aber könnten sie überhaupt eine Inventur durchführen?
|
|
|
|
|
|
|
|
In der iX 6/04 wird in einem Artikel die Haftungsproblematik für virenverseuchte eMails diskutiert. Einen kurzen Abriss gibt es bei heise-online.
|
|
|
|
|
|
|
|
Wie mehrere Medien berichten kam es bei CISCO zum Diebstahl von Teilen des Quellcodes des Routerbetriebssystems IOS, mehr bei heise-Security.
|
|
|
|
|
|
|
|
COMPUTAS informiert über eine attraktive Gelegenheit fuer Studenten: An der von der Firma COMPUTAS am 7. und 8. Juni 2004 in Koeln organisierten Fachkonferenz IT Risk Management 2004 können 2 Studenten (Schüler oder andere, die sich eine solche Veranstaltung normaler Weise nicht leisten können) kostenlos teilnehmen. Kurze Bewerbungen (kurze Begründung warum interessiert und Lebenslauf) schicken Sie bitte an: info@computas.de. Falls es mehr als 2 Bewerber gibt, wählt COMPUTAS zwei Teilnehmer aus.
|
|
|
|
|
|
|
|
Bei @stake ist die neue Version LC5 (L0phtCrack 5) der bekannten Passwort Auditing (einige sagen auch Cracking) Software verfügbar.
|
|
|
|
|
|
|
|
16. Mai 2004 |
|
|
|
|
|
|
|
Phatbot und Sasser haben möglicherweise mehr Schaden angerichtet als bisher bekannt, meldet heise-online. Ob Schadenersatzklagen gegen die Autoren allerdings mehr als eine symbolische Geste sind, darf bezweifelt werden. Return of Security Investment (RoSI) ist für viele Firmen ein Thema. Leider gibt es bisher bestenfalls Ansätze zu einer methodischen Berechnung. Anhand des Beispiels Sasser könnten Firmen jetzt eine bessere Schätzung durchführen. Sie können nämlich die Kosten für eine reguläre Patchverteilung den Kosten gegenüberstellen, die für eine Patchverteilung erst aufgrund des Wurmbefalls erforderlich sind (oder waren).
|
|
|
|
|
|
|
|
EPAL, eine standardisierte Beschreibungssprache für den Datenschutz, verlässt die Universitäten und soll in Datenschutzprojekten getestet werden. Mehr bei heise-online.
|
|
|
|
|
|
|
|
Keine fristlose Kündigung bei Abruf von Pornoseiten aus dem Internet am Arbeitsplatz. So entschied das LAG Rheinland-Pfalz aufgrund einer Kündigungsschutzklage. Leider war das Urteil (noch) nicht in der Datenbank, hier das Aktenzeichen (Az.: 4 Sa 1288/03). Es gibt dazu auch eine Meldung bei heise-online.
|
|
|
|
|
|
|
|
Mit dem letzten Patch von Microsoft soll eine Lücke im Hilfe- und Supportcenter beseitigt werden. Auch wenn die Lücke “nur” als hoch eingestuft wird, empfiehlt Microsoft im Bulletin die schnellstmögliche Installation. Betroffen sind Windows XP und Windows Server 2003.
|
|
|
|
|
|
|
|
Die Hetesy GmbH hat ein Diskussionsforum für Anwender des IT-Grundschutzhandbuchs des BSI eingerichtet.
|
|
|
|
|
|
|
|
9. Mai 2004 |
|
|
|
|
|
|
|
In mehreren Meldungen berichtet heise-online über die Verhaftung der mutmaßlichen Programmierer der Würmer Sasser, Netsky und Phatbot.
|
|
|
|
|
|
|
|
Bei SANS gibt es im SCORE Bereich unter anderem eine Checkliste zu ISO 17799.
|
|
|
|
|
|
|
|
Nach der polizeilichen Kriminalitätsstatistik 2003 (pdf 888 kb) ist die Computerkriminalität um knapp 4 % gestiegen. Dabei stieg der Computerbetrug nach § 263a fast um 20 %.
|
|
|
|
|
|
|
|
Integralis bietet den Scan von Webserver auf Sicherheitslücken noch bis 30. Juni 2004 zum Festpreis von 2.500 Euro an. Werden keine Lücken gefunden ist der Scan sogar kostenlos. Zur Pressemeldung von Integralis.
|
|
|
|
|
|
|
|
2. Mai 2004 |
|
|
|
|
|
|
|
Auf Basis der Knoppix-CD gibt es jetzt eine Security-CD mit einer umfangreichen Sammlung von Security-Tools. Eine ausführliche Beschreibung ist bei heise-Security zu finden. Hier geht es zur Knoppix-STD.
|
|
|
|
|
|
|
|
Der erste Wurm, welcher die mit den letzten Windows-Patches behobenen Schwachstellen ausnutzt, ist unterwegs. Für Systeme die noch nicht gepatcht sind ist es also höchste Zeit. Zur Meldung bei heise-Security.
|
|
|
|
|
|
|
|
Das OLG Hamm urteilt zur Verantwortung für Datenverluste bei Computerreparaturen. Danach hat der Computerbetreiber für eine zuverlässige Datensicherungsroutine zu sorgen. Der IT-Dienstleister muss sich zwar von der Existenz einer Datensicherungsroutine überzeugen, muss aber nicht deren Angemessenheit und Funktionsfähigkeit überprüfen. Mehr bei jurPC.
|
|
|
|
|
|
|
|
24. April 2004 |
|
|
|
|
|
|
|
Nach einer britischen Projektmanagement Studie (pdf 154 kb) von der Royal Academy of Engineering und der British Computer Society können nur 16% aller Projekte als erfolgreich bewertet werden. Dies ist sogar noch schlechter als das Ergebnis der Standish Group welches über eine Erfolgsrate von 34 % berichtet.
|
|
|
|
|
|
|
|
Nach einer heise-online Meldung warnt Microsoft vor einem Exploit-Code gegen den IIS-Webserver.
|
|
|
|
|
|
|
|
Schwachstelle in TCP ermöglicht DoS Angriffe wie heise-online berichtet.
|
|
|
|
|
|
|
|
Für einem Wurm wurde der Quelltext im Internet veröffentlicht, dies lässt laut heise-online befürchten, dass die Anzahl der Varianten stark ansteigen wird, zu Meldung bei heise-online
|
|
|
|
|
|
|
|
17. April 2004 |
|
|
|
|
|
|
|
Linux Audit Group präsentiert Arbeitsergebnisse
Die Linux-Arbeitsgruppe, die sich im vergangenen Jahr aus Mitgliedern des deutschen ISACA-Chapters etabliert hat, stellt jetzt das erste Ergebnis ihrer Arbeit vor. Es handelt sich um eine praktische Prüfungshilfe, analog zu einem Handbuch, auf Browser-Basis, die im WWW verfügbar ist. Die Prüfungshilfe mit Namen LinuxAuditAid finden Sie auf den Web-Seiten des deutschen Chapters. Den Koordinator der Arbeitsgruppe können Sie unter LAG@isaca.de erreichen.
|
|
|
|
|
|
|
|
Die O&O Software GmbH hat eine Studie zum “Datenschutz bei gebrauchten Festplatten” durchgeführt. Die Ergebnisse sind erschreckend. Besonders peinlich: zwei Festplatten einer Krankenkasse mit Patientendaten. Zur Studie. Es soll allerdings nicht unerwähnt bleiben, dass die O&O Software GmbH unter anderem auch ein Tool zur Datenlöschung herstellt.
Im Januar 2003 (siehe Meldungen I. Quartal 2003, 16. Januar)veröffentlichten zwei Wissenschaftler des MIT vergleichbares für Amerika, zur damaligen Meldung bei heise-online.
|
|
|
|
|
|
|
|
Am Patchday liefert Microsoft vier Security Bulletins die sich auf insgesamt 20 Schwachstellen beziehen. Patches gibt es für die Betriebssysteme, Outlook Express, Microsoft Jet Database Engine und RPC/DCOM. Mehr bei heise-online. In einem weiteren Artikel greift heise-online die kürzlich veröffentlichte Forrester Studie zur Sicherheit von Windows und Linux auf und stellt fest, dass der dort veröffentlichte Mittelwert von 25 Tagen zwischen Bekanntgabe und Fix nicht erreicht wird.
|
|
|
|
|
|
|
|
heise-online und Spiegel-Online berichten über mehrere erfolgreiche Angriffe auf Supercomputer der Stanford University und angeschlossener Institute.
|
|
|
|
|
|
|
|
10. April 2004 |
|
|
|
|
|
|
|
Microsoft bietet eintägige, kostenlose Sicherheitsschulungen für IT-Professionals zu verschiedenen Terminen an folgenden Orten an: Berlin, Dresden, Düsseldorf, Eschborn, Hamburg, Stuttgart, Unterschleißheim, Wiesbaden, mehr
|
|
|
|
|
|
|
|
Bei den Cisco-Produkten WLSE und HSE gibt es eine Panne mit fest einprogrammierter Kennung / Passwort Kombination, mehr bei heise-Security. Faszinierend, dass so etwas auch im Jahr 2004 noch möglich ist.
|
|
|
|
|
|
|
|
4. April 2004 |
|
|
|
|
|
|
|
In der vergangenen Woche gab es zwei erfreuliche Neuigkeiten bei der SPAM-Bekämpfung. Erstens hat der Bundestag im Rahmen der Überarbeitung des Gesetztes gegen den unlauteren Wettbewerb die Opt-in-Regelung für Werbemails beschlossen, mehr bei heise-online. Zweitens hat ein Gericht in den USA einen Spammer zu einer Haftstrafe verurteilt, mehr bei Spiegel-Online.
Das wird zwar kurzfristig die Anzahl der Spammails nicht senken erweckt aber die Hoffnung, dass Gesetzgebung und Gerichte auf dem richtigen Weg sind.
|
|
|
|
|
|
|
|
Beim Internet Explorer meldete heise-online neue Schwachstellen, Meldung vom 30.03, Meldung vom 01.04.
|
|
|
|
|
|
|
|
Ein Artikel bei heise-Security beschäftigt sich mit DoS Angriffen auf WLANs. Fazit: wer auf eine sehr hohe Verfügbarkeit angewiesen ist, zum Beispiel weil sonst automatisierte Produktions- oder Auslieferungsabläufe stocken, sollte auf WLAN verzichten.
|
|
|
|
|
|
|
|
Die Seminare der SIGS-DATACOM GmbH sind jetzt in der Seminardatenbank. Es gibt interessante Seminare zum Beispiel zur Sicherheit von Java und zum Projektmanagement. Schauen Sie doch einmal rein.
|
|
|
|
|
|
|
|
Die scip AG in Zürich bietet den Besuchern von IT-Audit.de die Möglichkeit den IT-Sicherheitsinformations-
dienst )pallas( drei Monate zu beziehen und nur zwei Monate zu bezahlen. Erfahren Sie hier mehr über )pallas(.
Die Aktion läuft nur noch bis zum 15. April 2004!
|
|
|
|
|
|
|
|
aktuelle Meldungen - ältere Quartale
|
|
|
|
|
|