|
|
|
|
|
|
IT-Audit.de > Meldungen I. Quartal 2005
|
|
|
|
|
|
|
|
Anzeigen
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Meldungen zur IT-Revision, IT-Security und zum Datenschutz - I. Quartal 2005
aktuelle Meldungen - ältere Quartale
|
|
|
|
|
|
|
|
27. März 2005
|
|
|
|
|
|
|
|
Das NIST hat überarbeitete Security Technical Implementaion Guides für Unisys, VoIP, Win 2003 Server, Web Server sowie ein neues WLan Security Framework veröffentlicht.
|
|
|
|
|
|
|
|
Das ITGI hat den “CEO’s Guide to IT Value at Risk” (englisch) veröffentlicht. Er beschreibt kurz und prägnant wie angemessene “IT-Governance” Vorteile für das Unternehmen erzeugt.
|
|
|
|
|
|
|
|
Der EU-Ausschuss der Datenschutzbehörden hat neue Leitlinien (englisch) zur Datenerhebung und -verarbeitung von Händlerdaten, deren Akzeptanzvertrag vom Zahlungskartenanbieter gekündigt wurde, gebilligt.
|
|
|
|
|
|
|
|
vnunet.com meldet, dass es möglich sein soll Bluetooth Signale über einen Kilometer zu entdecken. Dies eröffnet “Hackern” neue Perspektiven, war man doch bisher davon ausgegangen, dass dies nur für wesentlich kürzere Entfernungen möglich wäre.
|
|
|
|
|
|
|
|
BITKOM veröffentlicht einen Leitfaden zum ASP. Dieser ist sowohl für Anbieter als auch für Anwender gedacht. Außerdem neu ist ein Leitfaden zu IT-Sicherheitsstandards.
|
|
|
|
|
|
|
|
20. März 2005
|
|
|
|
|
|
|
|
Die Veritas Software hat 2004 eine Studie zum Stand des Disaster Recovery in Unternehmen in Auftrag gegeben. Die Ergebnisse liegen jetzt vor. Download (pdf 140 kb) bei Veritas.
|
|
|
|
|
|
|
|
Wer vor Fragen steht wie: “Welche IT Security Policies brauchen wir?” oder “Wie sollen diese eigentlich aussehen” tut sich oft etwas schwer. Eine erste Hilfe gibt es beim SANS welches einige (ca. 30) zusammengetragen haben. Die Policies sind natürlich auf englisch.
|
|
|
|
|
|
|
|
13. März 2005
|
|
|
|
|
|
|
|
Das BSI hat einen Vorschlag zur sicheren Anzeigen von aktiven Inhalten in Firmennetzen veröffentlicht. Es schlägt unter dem Titel ReCoB (Remote-Controlled Browsers System) im wesentlichen vor, die aktiven Inhalte auf einem Terminalserver in einer DMZ ausführen zu lassen auf den die Clients dann zugreifen. Dies ist natürlich extrem verkürzt dargestellt, lesen Sie mehr beim BSI. Weitere interessante Informationen finden sich im Newsletter vom 07. März des BSI.
|
|
|
|
|
|
|
|
Die Unternehmensleitung (und auch die Mitarbeiter) unterschätzten oft Fragen der persönlichen Haftung im Zusammenhang mit der IT-Sicherheit. Darauf weist der BITKOM in einigen neuen Veröffentlichungen hin. Zu diesen Veröffentlichungen gehört unter anderem eine Haftungsmatrix (pdf 137 kb).
|
|
|
|
|
|
|
|
6. März 2005
|
|
|
|
|
|
|
|
Tool von Elcomsoft kann unter bestimmten Bedingungen die EFS-Verschlüsselung von Windows 2003 knacken, mehr bei heise online.
|
|
|
|
|
|
|
|
Für US-Behörden gilt eine neue Datensicherheitsrichtlinie. Für die Authentifizierung der Benutzer am System werden Anforderungen an Smartcards und Biometrie gestellt. Im Umkehrschluss könnte man annehmen, dass User-ID / passwortgestützte Systeme nicht mehr ausreichend sind. Mehr bei heise online.
|
|
|
|
|
|
|
|
27. Februar 2005
|
|
|
|
|
|
|
|
Capgemini hat eine neue Studie zu den IT-Trends 2005 veröffentlicht, die IT-Sicherheit bleibt das wichtigste Thema. Nur 30% der befragten Unternehmen setzen ein Kennzahlensystem ein um die Leistung der IT zu bewerten. Auch im Projektmanagement gibt es keine Fortschritte. Mehr bei Capgemini.
|
|
|
|
|
|
|
|
20. Februar 2005
|
|
|
|
|
|
|
|
Die Ausgabe November 2004 des IT-Grundschutzhandbuchs vom BSI jetzt online. Neu sind die Bausteine:
- 6.10 S/390- und z-Series-Mainframe
- 7.11 Router und Switches
- 8.7 PDA
|
|
|
|
|
|
|
|
Das NIST hat Updates für einige Security Checklists/Implementation Guides bereitgestellt:
- Application Security
- Draft Windows Server 2003 Security
- Windows 2000 Security
- Windows NT Security
- Windows XP Security
- UNIX Security Checklist
- Desktop Application Security
- Web Server Security (Apache, MS IIS, Netscape-iPlanet-SunOne, Server Checklist Procedures)
|
|
|
|
|
|
|
|
BITKOM veröffentlicht einen Leitfaden zu “Web Services”. Dieser gibt einen Überblick zum Stand der Technik, Standardisierung und Anwendung. Dabei steht die kompakte und einfache Darstellung der grundlegenden Prinzipien im Mittelpunkt. Deswegen eignet sich der Leitfanden gut für einen Einstieg ins Thema. Teilweise wird auch der Grad der technischen Umsetzung bewertet.
|
|
|
|
|
|
|
|
Auch die NSA hat Updates für Security Guides zu bieten und zwar:
- Microsoft Office XP/2003 Executable Content Security Risks and Countermeasures Guide
- Zipped Application Security Configuration Guide
|
|
|
|
|
|
|
|
Nach einer Meldung bei heise-online ist die Hash-Funktion SHA-1 gebrochen. heise bezieht sich auf eine Meldung auf der Webseite von Bruce Schneier dem anerkannten Krypto-Experten. SHA-1 wird in vielen Anwendungen zur Bestätigung eingesetzt, dass die Daten unverändert sind.
|
|
|
|
|
|
|
|
13. Februar 2005
|
|
|
|
|
|
|
|
IBM veröffentlicht einen Patch für DB2. Leider wird nur bekanntgegeben, dass es sich um ein kritisiches Problem handelt. Was genau der Fehler ist, wie er ausnutzbar ist bleibt vorerst offen. Erst im Mai sollen Details veröffentlicht werden. Mehr bei heise-online.
|
|
|
|
|
|
|
|
Das BaFin verlangt im ersten Entwurf zu den MaRisk für IT-Sicherheitsmaßnahmen grundsätzlich gängige Standards zu verwenden. In den Erläuterungen werden das IT-Grundschutzhandbuch des BSI sowie ISO 17799 als Beispiele genannt.
|
|
|
|
|
|
|
|
7. Februar 2005
|
|
|
|
|
|
|
|
Microsoft kündigt für den morgigen Patch-Day 13 Updates an. Mehr bei heise-online oder direkt bei Microsoft.
|
|
|
|
|
|
|
|
Die Finanzverwaltung aktualisiert die Frage- und Antwortliste zu den GDPdU. Allzuviel neues gibt es allerdings nicht. Vielen Dank an Heiko Jacob für diesen Hinweis.
|
|
|
|
|
|
|
|
30. Januar 2005
|
|
|
|
|
|
|
|
Das CIS hat ein Update des Benchmark und Scoring Tools für Red Hat Linux veröffentlicht. Tools für andere Distributionen sollen noch folgen.
|
|
|
|
|
|
|
|
Die europäische Kommission hat neue Standardvertragsklauseln für die Übermittlung von Daten in Nicht-EU-Länder verabschiedet. Damit soll auch in Drittländern ein angemessenes Datenschutzniveau erreicht werden.
|
|
|
|
|
|
|
|
JurPC hat das Gutachten zu den rechtlichen Risiken des Open-Source Einsatzes für die Stadt München veröffentlicht.
|
|
|
|
|
|
|
|
Die NSA veröffentlicht einen Security Configuration Guide für das Microsoft .NET Framework.
|
|
|
|
|
|
|
|
23. Januar 2005
|
|
|
|
|
|
|
|
Aktuelle Übersicht (pdf 475 kb) über die Entwicklung der Prüfungsanforderungen an IT-gestützte Rechnungslegungssysteme - freundlicherweise zur Verfügung gestellt von der IT-Audit GmbH.
|
|
|
|
|
|
|
|
In dem Artikel “Angriff von innen” bei heise Security wird ausführlich auf die Technik und die Abwehr von Angriffen mittels ARP-Spoofing eingegangen.
|
|
|
|
|
|
|
|
16. Januar 2005
|
|
|
|
|
|
|
|
Schwachstelle in Firefox/Mozilla erlaubt das abdecken von Dialogfenstern mit präparierten Pop-Up-Windows. Damit kann ein Anwender dazu verleitet werden ungewollt Downlaods zu bestätigen, mehr bei heise Online.
|
|
|
|
|
|
|
|
Microsoft veröffentlichte am Patch-Day 3 Updates, zwei davon als kritisch und eines als wichtig eingestuft, Details bei heise Online.
|
|
|
|
|
|
|
|
Die Cyber Security Industry Alliance hat einen Artikel (pdf 178 kb) zum Sarbanes-Oxley Act (SOX) veröffentlicht, welcher sich mit den Auswirkungen auf die IT-Sicherheit beschäftigt.
|
|
|
|
|
|
|
|
Auf der Webseite des BITS ist ein Artikel sowie ein Excel-Tool (BITS Kalculator: Key Risk Measurement Tool for Information Security Operational Risks) zur Bewertung der operationellen IT-Risiken zu finden.
|
|
|
|
|
|
|
|
9. Januar 2005
|
|
|
|
|
|
|
|
Die Initiative “Mittelstand sicher im Internet” veröffentlicht Broschüren zur Nutzung der mobilen Kommunikation. Wie bei den bisherigen Veröffentlichungen gibt es drei Ausprägungen für kleine, mittlere und größere Unternehmen.
|
|
|
|
|
|
|
|
Die Open Information System Security Group (OISSG) hat den ersten Entwurf für ein “Information System Security Assessment Framework” online gestellt. Der Entwurf steht als zip (5.6 mb) oder pdf (12.6 mb) zur Verfügung. Ein weiteres interessantes Projekt der OISSG ist ein “Computer Crime Investigation Framework”.
|
|
|
|
|
|
|
|
3. Januar 2005
|
|
|
|
|
|
|
|
Ein frohes neues Jahr!
Für das neue Jahr wünsche ich Ihnen Gesundheit, Glück und Freude. Mit Ihnen hoffe ich, dass sich das neue Jahr für uns alle krisenfrei und erfolgreich entwickelt. Ich hoffe, dass ich Sie auch im Jahr 2005 bei IT-Audit.de und Revision-Online.de zahlreich begrüssen darf und freue mich auf interessante Diskussionen in den Foren.
Zur Zeit führen die amerikanischen Kollegen bei den Checklisten 1078:14. Vielleicht können Sie in diesem Jahr dazu beitragen den Rückstand zu verkürzen.
|
|
|
|
|
|
|
|
Auf dem 21C3 demonstrierten Sicherheitsexperten von trifinite Sicherheitslücken in Bluetooth mit denen sich Handys manipulieren lassen. Bei heise online gibt es einen ausführlichen Meldung.
|
|
|
|
|
|
|
|
Noch kurz vor Jahresende 2004 veröffentlichte das BSI neue Bausteine für das IT-Grundschutzhandbuch und zwar:
- Router und Switches
- PDA
- S/390 und zSeries-Mainframe
- Sicherheitsgateway (Firewall)
Sie sind allerdings online noch nicht verfügbar. Für 2005 sind geplant: Softwareentwicklung, Datenbanken und SAP.
|
|
|
|
|
|
|
|
Auch das NIST war im Dezember noch aktiv und veröffentlichte Updates zu den Checklisten Database, Unix, Windows 2003, NT, 2000, XP und Wireless.
|
|
|
|
|
|
