IT-Audit.de

Impressum
Mediadaten

IT-Audit.de > Meldungen III. Quartal 2004

Anzeigen

Meldungen zur IT-Revision, IT-Security und zum Datenschutz - III. Quartal 2004
aktuelle Meldungen - ältere Quartale

26. September 2004

Nach einer Meldung von heise Security ist ein Baukasten im Web aufgetaucht mit dem JPG-Bilder erzeugt werden können welche die am letzten Patchday ausgebesserte Schwachstelle in diversen Windowsprodukten ausnutzen. Wenn der Patch noch nicht eingespielt ist, wird es jetzt höchste Zeit.

Bitte beachten Sie die zwei neuen Einträge bei den Sonderaktionen im Marktplatz.

Der US Secret Service und das CERT haben eine Studie zum Ausmaß der Bedrohung durch Computermissbrauch von Insidern im Bank- und Finanzsektor herausgegeben. Dazu wurden 23 Vorfälle aus den Jahren 1996 bis 2002 untersucht. Es zeigte sich unter anderem, dass

• wenig technisches Wissen erforderlich war, sondern dass überwiegend (87 %) einfache, legitimierte Benutzertranskationen benutzt wurden
• in 70 % der Fälle Systemverletzbarkeiten in Anwendungen und Prozessen ausgenutzt wurden
• 17 % der Insider Administratorrechte hatten
• 81 % der Vorfälle geplant waren
• in 85 % der Fälle Dritte ganz oder teilweise davon Kenntnis hatten
• 81 % der Insider finanzielle Ziele hatten, davon waren 27 % in finanziellen Schwierigkeiten
• in 27 % der Fälle mehrere Motive vorlagen, wie Rache, Unzufriedenheit mit dem Management, Unternehmenskultur oder das Verlangen nach Respekt

Außerdem enthält die Studie noch weitere interessante Feststellungen.

Das CIS hat ein neues Benchmark- und Scoringtool für den Apache Webserver veröffentlicht.

19. September 2004

Zwei neue Informationsdatenbanken im Web: Bei IT-Wissen.info finden sie Begriffs- und Abkürzungserklärungen aus der Informations-, Nachrichten- und Telekommunikationstechnik. Bei ProcessLibrary.com sind Informationen zu Prozessen und DLLs in Windowssystemen zu finden (englisch).

Sicherheitslücke bei der Windows-XP-Firewall im Zusammenhang mit dem Service Pack 2 entdeckt, mehr bei heise onlline.

Neues Benchmark-Tool für Windows Server 2003 vom CIS veröffentlicht.

12. September 2004

Die GDD führt eine Umfrage zu “Aufgaben und Stellung der betrieblichen und behördlichen Datenschutzbeauftragten” durch. Es soll ermittelt werden, inwieweit sich die Aufgaben und die Stellung des Datenschutzbeauftragten aufgrund der Novellierung der Datenschutzgesetze  verändert haben, mehr.

Das CIS veröffentlicht eine neues Benchmark und Scoring Tool für CISCO PIX Firewalls, mehr

Bei der Computerwoche gibt es einen Artikel zum Outsourcing der IT-Sicherheit (Managed Security Services), mehr

Bei NewOrder gibt es einen kurzen Artikel (englisch) wie unter Windows User/Datei-Berechtigungeinschränkungen umgangen werden können um Software zu installieren/auszuführen oder eine Kommandozeile aufzurufen, mehr

05. September 2004

Neuer Artikel bei IT-Audit.de: Edgar Jager beschäftigt sich in seinem Artikel (pdf 28 kb) mit der Projektsteuerung. Im ersten Teil geht es um die Planung der einzelnen Projekte. Der zweite Teil (erscheint im Oktober) wird sich mit der Priorisierung von Projekten auseinander setzen.

Oracle veröffentlicht Patches für Database und Application Server sowie den Enterprise Manager, zur Meldung bei heise Security.

Schwachstellen in IBMs DB2 entdeckt, Patches sind verfügbar. Zur Meldung bei heise Security.

22. August 2004

Neue Rubriken bei IT-Audit.de! Neu ist im Unternehmensbereich der Marktplatz. Hier können nachfragende Unternehmen Ausschreibungen und Anbieter Sonderaktionen veröffentlichen. Außerdem ist einen neue Rubrik Stellengesuche verfügbar. Weitere Informationen erhalten sie direkt in den entsprechenden Rubriken.

Nach einer Meldung von silicon.de beabsichtigt Oracle einen monatlichen Patch-Day einzuführen.

heise Security berichtet über erste Schwachstellen im Windows XP ServicePack 2.

Bei IBM ist ein Artikel “Managing security in release 2.0 of Lotus Workplace” erschienen.

15. August 2004

Nachdem das ServicePack 2 für Windows XP erschienen ist, hier ein Artikel zur richtigen Installation bei der c’t.

Microsoft veröffentlicht Patch für den Exchange-Server 5.5, mehr bei heise-online oder zum Bulletin von Microsoft.

Das BSI stellt sein Projekt "Migration der zentralen IT-Infrastruktur des BSI" von Windows NT auf eine gemischte Windows/Linux-Umgebung kurz vor.

Nicht nur für den PC zu Hause: Wer kennt es nicht, kaum ist die grössere Festplatte eingebaut, ist sie auch schon wieder voll. Aber wo sind die Speicherfresser? Die Suche mit dem Betriebssystem ist recht mühsam und einen Überblick gibt es auch nicht. Abhilfe schafft das Programm SequoiaView der Technischen Universität Eindhofen. Es dürfte auch recht hilfreich sein, wenn man in einer Prüfung mal von Hand nach unzulässig installierter Software sucht.

8. August 2004

Microsoft veröffentlicht Tool um verborgene Daten und Daten zur Zusammenarbeit, z.B. Daten zum Nachverfolgen der Änderungen und Kommentare, aus Word 2003/XP-, Excel 2003/XP- und PowerPoint 2003/XP-Dateien zu entfernen. Dies ist hilfreich, weil über die verborgenen Daten in Office-Dokumenten Firmeninternas nach aussen gelangen können.

Am 17. August findet ein Webcast von Microsoft Deutschland zu den technischen Details des Windows XP Service Pack 2 statt.

Security Updates für Mozilla und Firefox verfügbar, zur Meldung bei heise-online.

Auf der Black Hat Conference berichtet David Litchfield von mehreren Sicherheitslöchern in Oracle berichtet. Leider gibt es noch keine weiterführenden Informationen, ausser das Oracle an der Beseitigung arbeitet, mehr bei heise-online.

1. August 2004

Bei 62 % der Unternehmen behindert Geldmangel die IT-Sicherheit, so berichtet zumindest heise-online über die Ergebnisse einer KES-Studie.

Microsoft fixed ausserhalb des normalen Patchzyklus drei Sicherheitslücken im Internet Explorer; zur heise-online Meldung, zum Bulletin von Microsoft.

BSI veröffentlich Studie zur “Evaluierung biometrischer Systeme Fingerabdrucktechnologien - BioFinger”.

27. Juli 2004

Sowohl die Tagesschau als auch heise-online berichten über schwerwiegende Sicherheitsmängel in der Online-Vertragsverwaltung (OBSOC) der Webservices der T-Com. Die Berichte basieren auf dem Artikel “No more secrets” (Zusammenfassung hier) in der Datenschleuder des Chaos Computer Clubs. Betroffen von den Sicherheitsmängeln sind danach auch sensible Dienste wie T-Pay (ein Online-Bezahlsystem) und OnlineBackup zur Sicherung der privaten Daten. Auch die Dienste von Drittanbietern sind angeblich betroffen, zum Beispiel ein Online-Dokumentenmangementsystem. Auf der Webseite T-hack (ebenfalls beim CCC) ist der Vorgang der bereits im Mai 2003 begann dokumentiert.

25. Juli 2004

Das FFIEC (Federal Financial Institutions Examination Council) hat ein Booklet zum Outsourcing veröffentlicht. Es beschreibt die Verantwortung des Managements, das erforderliche Risikomanagement und enthält ein Arbeitsprogramm für die Prüfung.

20. Juli 2004

Heise online berichtet über weitere kritische Schwachstellen des Internet Explorers. So kann unter anderem durch einfaches Drag&Drop ein Programm im Autostart-Ordner platziert werden, mehr.

19. Juli 2004

Die neue Katalognavigation und das überarbeitete Layout sind fertig. Natürlich freue ich mich über Rückmeldungen, diskutieren Sie doch mit anderen Benutzern im Forum “Fragen zur Bedienung / Verbesserungsvorschläge”. Falls Sie einen Fehler entdecken können Sie mir natürlich auch ein Mail schicken.
Bekannte Probleme:

• Bei Netscape/Mozilla stimmt die Schriftfarbe und Schriftstil nicht immer, ich arbeite daran. Nachtrag: müsste erledigt sein.
• Bei Netscape/Mozilla kann es sein, dass Bilder (Images) nicht geladen werden, obwohl in den Einstellungen Bilder generell akzeptiert
  werden (Einstellung: Privacy&Security > Images > accept all images). Fügen Sie bitte IT-Audit.de über “Manage Images Permissions” als Seite von der Bilder geladen werden dürfen hinzu.

heise online berichtet über ein Sicherheitsloch im Acrobat Reader 6.0.1, es steht ein Patch zur Verfügung.

Microsoft fixt im letzten Update sieben Sicherheitslücken (zwei kritisch, vier wichtig, eine mittel). Zur Meldung bei heise online.

11. Juli 2004

heise online berichtet über Fehler in den Linux-Kerneln 2.4 und 2.6. Der Fehler kann dazu benutzt werden erweiterte Zugriffsrechte zu erlangen. Patches sind verfügbar.

Im “Compliance Consortium” haben sich mehrere Firmen zusammengeschlossen um “Best Practices” für Governance, Risiko- und Compliance-Management zu entwickeln.

Auf der Webseite von NGS Software gibt es ein Whitepaper zur Sicherheit von MYSQL: “Hackproofing MySQL” (pdf 262 kb).

4. Juli 2004

In der vergangenen Woche wurden wieder Lücken im Internet Explorer bekannt, heise online berichtete. Inzwischen empfehlen auch offizielle Stellen, z.B. das US-CERT, auf einen anderen Browser auszuweichen.

Microsoft reagierte und stellte ausserhalb des normalen Patchzyklus ein Update bereit, auch hierzu gibt es eine Meldung bei heise online.

Das BSI stellt einen Behörden Desktop auf LINUX-Basis zum Download bereit. Bei heise Security gibt es entsprechende Informationen.

Bei der Frame-Behandlung zeigen fast alle Browser Schwächen, die sich von Angreifern zum “Phishing” ausnutzen lassen. Auch dazu gibt es eine Meldung bei heise online.

Bei heise Security gibt es einen guten Artikel über Portscans.

aktuelle Meldungen - ältere Quartale