40 Millionen Kreditkarten-Daten gestohlen - dies war der wohl bisher grösste Datendiebstahl. Durch eine Sicherheitslücke bei CardSystems Solutions gelangten die Datensätze in die Hände Unbefugter. Betroffen sind mehrere Kreditkartenfirmen, darunter fast 14 Millionen MasterCard-
Benutzer. Sowohl heise online als auch Spiegel Online berichten.

Das BSI hat das freie Sicherheitstool BSI OSS Security Suite (BOSS) veröffentlicht. Es baut im wesentlichen auf dem bewährten Sicherheits-Scanner Nessus auf. Hinzugekommen ist neben der BOSS-Oberfläche der Security Local Auditing Daemon, der die Steuerung der angebundenen lokalen Sicherheitssoftware übernimmt.

BITKOM aktualisiert Leitfaden zum elektronischen Datenzugriff der Finanzverwaltung. Der Leitfaden wurde im 2. Teil (Technologien zur Datenaufbewahrung) ergänzt und aktualisiert.

Herr Jacob von der IT Audit GmbH hat eine Ergänzung (pdf 56 kb) zu dem im Januar (pdf 476 kb) veröffentlichten Handout "Aktuelle Entwicklung der Prüfungsanforderungen bezüglich IT-gestützter Rechnungslegungssysteme" zur Verfügung gestellt. Ein erster Entwurf des IDW ERS FAIT 3 “Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren” ist beim IDW verfügbar.

Unter dem Titel “ Was Mitarbeiter in der Revision verdienen” hat das Handelsblatt eine Gehaltsanalyse veröffentlicht.

Das CSRC beim NIST war wieder fleissig und hat überarbeitete Checklisten/Security Guides veröffentlicht: Database, Desktop Application, Network Infrastructure, VMS, Web Server, Windows NT/2000/XP.

Der fünfte Teil des Artikels “Schädlingen auf der Spur” ist bei Heise Security erschienen. Diesmal geht es darum was man mit HTML in E-Mails anstellen kann. Deswegen kann ich mich dem Kommentar des Autors “E-Mails sollten Text sein, Text und nur Text. Wenn Gott gewollt hätte, dass E-Mail in HTML geschrieben würden, endeten Gebete traditionell mit </amen>.” nur anschliessen.

Die GenoTec GmbH stellt auf ihrem neuen IT-Security-Themenportal eine Muster IT-Sicherheitsrichtlinie für Genossenschaftsbanken zur Verfügung. Außerdem sind noch drei weitere Sicherheitsleitlinien zu finden.

Die EU führt für ihre Zahlstellen einen der drei Sicherheitsstandards ISO 17799/BS 7799, BSI IT-Grundschutzhandbuch oder COBIT verpflichtend ein. Dies gilt ab dem Haushaltsjahr 2008, allerdings muss bereits ab dem Haushaltsjahr 2005 eine Erklärung zur IT-Sicherheit von der prüfenden Stelle abgegeben werden. Nach einer Pressemitteilung der ISACA soll diese Bewertung auf einem direkt aus den COBIT entwickelten Maturity Modell (Prozessreifegrad) beruhen.

Das BSI stellt eine umfangreiche Anti-Spam-Studie kostenlos zur Verfügung. Sie geht von eMail-Grundlagen über SPAM-Techniken bis hin zu Risikobewertungen und Fallstudien für verschiedene Unternehmensgrößen. Auch auf die rechtlichen Rahmenbedingungen wird eingegangen.

Christoph Wildensee gibt in seinem in der ReVision I/2005 erschienen Artikel “IV-Revision-Professionalisierung durch Zertifizierungen” (pdf 237 kb) eine Übersicht über die für IT-Revisoren interessanten Berufszertifikate. Dabei geht er nicht nur auf klassischen Revisionszertifikate (CIA, CISA) sondern auch auf IT-Sicherheits-, IT-Forensik- und auf die Hersteller-Zertifikate ein.

Das über Word, Excel und Powerpoint vertrauliche Daten nach aussen dringen können, dürfte bekannt sein. Aber auch die einfache Umwandlung in das pdf-Format verhindert dies unter Umständen nicht. Ausgerechnet dem Pentagon ist dieser Lapsus unterlaufen, wie der Artikel bei heise online zeigt. Für die Microsoft Office Produkte gibt es seit geraumer Zeit Add-Ins welche die vertraulichen Daten entfernen sollen, wie z.B. für Office XP: “Office 2003/XP-Add-In zum Entfernen verborgener Daten”.

Der nächste Patch-Day von Microsoft sollte ruhiger ausfallen, es ist nur ein Patch zu erwarten.

Das Schweizer Chapter der ISACA veröffentlicht die Ergebnisse der Arbeitsgruppe “Forensic Computing”. In diesem umfangreichen Dokument (pdf 2.600 kb) werden rechtliche Rahmenbedingungen, Gefährdungsanlaysen, organisatorische und technische Aspekte einer Ermittlung sowie Präventionsmaßnahmen ausführlich besprochen.

Das BSI hat die Studie "IT Infrastructure Library (ITIL) und Informationssicherheit" veröffentlicht. Dort werden die Möglichkeiten und Chancen des Zusammenwirkens von IT-Sicherheit und IT-Service-Management erörtert. Mehr beim BSI.

Das CIS hat Updates zu seinen Security-Benchmarks über AIX, Solaris, Wireless und Oracle veröffentlicht.

Nach einer Meldung von heise online steigt die Zahl der “Handyviren” an. Allerdings soll es sich nur um Varianten von bisher bereits bekannten Schädlingen handeln.

In der vergangenen Woche gabe es Patches von Microsoft, Oracle und für Firefox/Mozilla. Während Microsoft 18 Patches für Windows. Office und den Explorer bereitstellt (siehe diese Meldung bei heise online) sind es bei Oracle 89 (Meldung bei heise online). Allerdings stellt Oracle Patches nur vierteljährlich zur Verfügung. Auch bei den Browsern Firefox/Mozilla gab es ein weiteres Update, auch darüber berichtet heise online.

Das A-SIT hat eine neues Version des Österreichischen IT-Sicherheitshandbuchs herausgegeben. Die beiden Teile "IT-Sicherheitsmanagement" und "IT-Sicherheitsmaßnahmen“ liegen jetzt nicht nur in einer pdf sondern auch in einer XML-Fassung vor.

Auf der Webseite des Instituts für Informations-, Telekommunikations- und Medienrecht - Zivilrechtliche Abteilung - der Uni Münster gibt es einen umfassenden Skript (pdf 2,5 mb), (eigentlich ein Buch) zum Informationsrecht von Prof. Dr. Thomas Hoeren. Es behandelt das Domainrecht, das Immaterialgüterrecht, das Wettbewerbsrecht, Ausführungen zum Vertragsschluss und zum E-Commerce-Recht sowie das Datenschutzrecht. Der Download ist kostenlos, der Autor bitte aber bei Gefallen um eine Spende für die “Kaffeekasse” des Instituts.

Die AICPA hat eine spezielle Webseite zur Informationstechnik erstellt. Neben Informationen gibt es Diskussionsforen und Veranstaltungshindweise.

Die Atlantic Systemguild Inc. stellt auf ihrer Webseite “Riskology” vor. Es handelt sich um ein Tool auf Excel-Basis mit dem die Auswirkungen von Risiken auf die Projektlaufzeit simuliert werden können.

Auf der Webseite “Marketinghandwerk” gibt es eine kurze Zusammenfassung (pdf 417 kb) zur elektronischen Steuerprüfung. Auf nur zwei Seiten ist das wichtigste übersichtlich zusammengefasst.

Das GDPdU Portal hat einige Original-Fragbögen bzw. Checklisten von Finanzämtern aus verschiedenen Bundesländern zu DV-Systemen bzw. deren Prüfung veröffentlicht.