Die REVIDATA GmbH hat freundlicherweise einen Artikel über ein “Bewertungsschema zur Prüfung von Verfahrensdokumentationen gemäß IDW PS 880” (pdf 47 kb) zur Verfügung gestellt. Durch den konsequenten Einsatz der Prüfkriterien und Kennzahlen (bzw. deren Bewertung) wird eine Standardisierung und damit auch eine bessere Vergleichbarkeit bei Prüfungen der Dokumentation erreicht.

Auf der Webseite der wikima4 AG ist ein Artikel (pdf 276 kb) zu einer “SAP-Security Roadmap” zu finden. Ausgehend von der SAP-Security Studie aus 2004 wird eine Vorgehensweise zur Verbesserung der SA-Sicherheit vorgestellt.

Prof. Dr. Thomas Hoeren, Leiter des ITM (Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster) hat eine aktualisierte Version seines Skriptums Internetrecht veröffentlicht. Das Skriptum bietet einen strukturierten Aufbau: vom Domain-Recht über das Immaterialgüterrecht, Wettbewerbsrecht, Vertragsrecht, E-Commerce-Richtlinien und Datenschutzrecht werden alle Rechtsgebiete mit dem Bezug zu internetspezifischen Themen abgehandelt. Darüber hinaus bietet das Skriptum Gesetzestexte und Musterverträge. Der Umfang erreicht deswegen fast 500 Seiten.

NGS (Next Generation Security Software Ltd.) hat einen Leitfaden zum Pharming veröfffentlicht. “The Pharming Guide: Understanding & Preventing DNS Related Attacks by Phishers” (pdf 1,5 mb) beschreibt zunächst das DNS-Verfahren, dann die verschiedenen Angriffsmöglichkeiten und gibt Hinweise für Anwender und Anbieter.

Das BSI hat einen Bericht zur “Lage der IT-Sicherheit” (pdf 2.9 mb) in Deutschland veröffentlicht. Der Bericht geht auf das Sicherheits-
bewusstsein und die -kompetenz bei Bürgern, in der Wirtschaft und in der Verwaltung ein. Er beschreibt Schwachstellen, beleuchtet die erwarteten Trends und zeigt aktuelle Aktivitäten auf. Insofern gibt der Bericht einen systematischen Überblick über die derzeitige
IT-Sicherheitslage und die Einschätzung des BSI. Wer allerdings regelmässig IT-Sicherheitsmeldungen verfolgt wird nicht viel Neues entdecken.

Wie angekündigt stellte Microsoft sechs Patches zur Verfügung. Drei Patches, darunter eines für den Internet Explorer, wurden als kritisch eingestuft. Mehr bei heise online. Das Update für den IE wurde zwar kurzfristig wieder zurückgezogen, steht aber inzwischen wieder zur Verfügung. Für die Lücken im Plug&Play-Code, welche mit einem weiteren der kritischen Patches gestopft werden sollen, sind bereits Exploits im Umlauf. Heise Security berichtet.

Über den SAP Internet Graphics Server können durch die Angabe von relativen Dateipfaden beliebige Dateien auf dem Server abgerufen werden. Bei Heise Security gibt es einen Meldung mit weiterführenden Links.

Im Windows RDP-Protokoll gibt es eine Designschwäche welche zur Kompromittierung des Administrator-Passworts führen kann. Zusätzliche Sicherungsmaßnahmen sind deswegen erforderlich. Bei Heise Security gibt es einen Artikel zum Thema. Da für den nächsten Patch-Day sechs Patches angekündigt sind, ist vielleicht einer für dieses Problem dabei.

In einem Artikel informiert Lotus über neue Security APIs in Notes/Domino 7.

Mit Lotus Notes/Domino lassen sich Datenbanken so einrichten, dass auch über das http-Protokoll zugegriffen werden kann. Dafür ist ein spezielles Kennwort erforderlich. Dieses Kennwort ist in der Standardkonfiguration unzureichend gesichert, heise online berichtet.

Der BITKOM veröffentlicht einen Leitfaden zur „E-Mail-Archivierung”. Der Leitfaden gibt einen Überblick über die Motive zur Einführung von E-Mail-Archiven und Hinweise welche Punkte dabei zu beachten sind.

Das NIST hat Updates zu den folgenden Security Guides veröffentlicht:

• Final Draft Wireless STIG
• Wireless LAN Security Framework Addendum to the Wireless STIG
• OS/390 STIG

Neu ist die “Wireless Local Area Network Site Survey Addendum to the Wireless Security Technical Implementation Guide”.

Das BSI hat einen Entwurf für den IT-Grundschutz-Baustein “SAP-System” fertiggestellt. Der Baustein-Entwurf kann von SAP-Sicherheits-
experten unter gshb@bsi.bund.de zum Review angefordert werden. Nach einer Reviewphase von 6 Wochen und anschließender Überarbeitung wird er allen IT-Grundschutz-Anwendern zur Verfügung gestellt.

Microsoft stellt Patches für den Internet Explorer, das Windows Color Management und Word zur Verfügung. Zur Meldung bei heise online.

Auch bei Oracle war Patch-Tag, für 47 Lücken stehen Updates bereit. Ein paar Tage später wurde die Lage allerdingsetwas verwirrend wie heise online berichtet.

Weitere Patches kommen von der Mozilla.org für Firefox und Thundebird. Allerdings entfällt diesmal die deutsche Version, diese soll erst als 1.0.6. erscheinen, zur Meldung bei heise online.

Die ISACA hat eine neue Audit Guideline zum Thema “Business Continuity Plan (BCP)” (pdf 163 kb) veröffentlicht. Vom ITGI gibt es einen neuen Guide für das Top Management “The CEO's Guide to IT Value @ Risk” (pdf 226 kb).

Ergänzend zu der Orientierungshilfe (siehe Meldung vom 3. Juli) gibt es jetzt auch eine “Checkliste für Funknetze/WLANs” (doc 32 kb) vom Landesbeauftragten für Datenschutz des Saarlands.

Bei Microsoft gibt es einen Artikel zum Thema “Securing Your Application Server”.

Der Landesbeauftragte für Datenschutz des Saarlands hat eine Orientierungshilfe zum "Datenschutz in drahtlosen Netzen/WLAN" (pdf 301 kb ) veröffentlicht. Sie enthält Informationen zu WLAN, Bluetooth, Infrarotschnittstellen, drahtlosen Endgeräten (Tastatur, Maus, PDA) und rechtliche Hinweise.