Der Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder adressiert in seiner Orientierungshilfe "Datenschutz in drahtlosen Netzen" (pdf 471 kb) nicht nur WLAN, sondern auch Bluetooth- und Infrarotverbindungen, sowie drathlose Peripheriergeräte und PDA.

Die REVIDATA hat die Erkenntnisse, Ergebnisse und Risiken ihrer Prüfungen der Informationstechnologie gemäß IDW PS 330 in der Jahresabschlussprüfung für 2005 in einer Analyse (pdf 28 kb) zusammengefasst und auch als Tabelle aufbereitet (pdf 13 kb).

In dem Artikel “Session Recording mit Filmen und Vier-Augen-Prinzip” (pdf 123 kb) beschäftigt sich Dipl.-Ing. Tillmann Basien mit den Möglichkeiten der Dokumentation und der Durchsetzung des Vier-Augen-Prinzips bei der Administration kritischer IT-Systeme.

Oracle hat eine “Oracle Database Security Checklist” (pdf 287 kb) veröffentlicht. Diese führt in 10 Schritten durch die grundlegende Absicherung von Oracle Datenbanken.

Vor einigen Tagen ist der Firefox 1.5 erschienen. Dieser scheint entweder den von meinem Generator produzierten html-Code strenger auszulegen als sein Vorgänger (oder auch Opera und Internet Explorer) oder er hat Schwierigkeiten mit der Darstellung von Überschriften-Tags und auch mit der Ausrichtung von Text bei Grafiken. Zur Zeit arbeite ich an “work-arounds” und bitte die Unannehmlichkeiten zu entschuldigen.  Falls jemand noch andere Probleme feststellt freue ich mich über eine email.

Die AWV hat den Abschlussbericht zum Forschungsprojekt „Überprüfung der Anforderungen an kleine und mittlere Unternehmen (KMU) betreffend die Aufbewahrungspflichten für digitale Unterlagen nach Handels- und Steuerrecht“ an das BMWi übergeben. Die Vorschläge sollen nun gemeinsam mit dem Bundesministerium der Finanzen auf ihre Umsetzungsmöglichkeiten hin geprüft werden.

Das ISECOM hat ein Reifegradmodell für das Information Security Management veröffentlicht. Durch die Einteilung in Reifegrade wird es Unternehmen ermöglicht sich schrittweise dem angestrebten Level zu nähern.

Wie heise Security berichtet ist der Web Application Server von SAP anfällig für Cross-Site-Scripting. Betroffen sind die Versionen 6.1, 6.2, 6.4 und 7.00. Patches stehen zur Verfügung.

Der Name der Webseite “WLAN Sicherheits Check” beschreibt was sie hier erwarten dürfen. Nach der Registrierung und einigen Eingaben zu ihrem geplanten oder vorhandenen WLAN erhalten sie eine Checkliste zu dessen Absicherung. Hilfreich in der Firma und zu Hause.

Sicherheitsnotizen ist die Webseite von Dirk Heringhaus. Er berichtet dort von seinen (Un)Sicherheitserfahrungen mit Webseiten / -anwendungen und seinen Erlebnissen mit Firmen oder Behörden wenn sie auf die Schwächen hingewiesen werden. Aus seinen Berichten glaube ich folgende Regel ableiten zu können: Je schlechter die Sicherheit, desto unverschämter die Reaktion.

Wie Kensington-Locks mit einfachsten “Werkzeugen” zu öffnen sind, erfahren sie in diesem Filmchen (wmv-Datei ca. 8 mb). Einige Anwender berichten dass manche Internet-Filter in Firmen diese Webseite/Datei wegen “kriminellem Inhalt” blockieren. Also bei Interesse zu Hause nochmals probieren. Nett ist der Hinweis des freundlichen Herren bezüglich der Versicherungsbedingungen, welchen ich allerdings nicht überprüft habe, denn er erscheint mir schlüssig. Damit schützen Schlösser dieser Bauart höchstens bei Gelegenheitstätern vor dem Verlust des Geräts, nicht aber vor den finanziellen Folgen. Für Laptops mit wirklich wichtigen Daten muss man sich also etwas anderes einfallen lassen.

ITGI, itSMF und OGC veröffentlichen eine Gegenüberstellung von COBIT, ITIL und ISO 17799. Im ersten Anhang werden ausgehend von den Control Objectives die entsprechenden Prozesse der ITIL und des ISO 17799 gegenübergestellt. Der zweite Anhang geht von den ITIL Prozessen aus und indetifiziert die entsprechenden COBIT Prozesse und Control Objectives. Außerdem enthält die Aufstellung kurze Hinweise zur Einführung der drei Standards.

Der BITKOM hat eine "Planungshilfe betriebssicheres Rechenzentrum" veröffentlicht. Auch ganz interessant sind die Bilder aus der Präsentation “Betriebs RZ Bilder”. Zur Cebit 2006 sollen Beispiele von Best Practices veröffentlicht werden.

VoIPSEC - Studie zur Sicherheit von Voice over Internet Protocol - Die im Oktober 2005 vorgestellte Studie des BSI enthält umfangreiche Ausführungen zu Grundlagen, Bedrohungsanalysen, Sicherheitsmaßnahmen und Einsatzszenarien.

Technische Richtlinie Sicheres Wireless LAN - Das BSI hat diese Richtlinie veröffentlicht mit dem Ziel, Entwicklung und Betrieb sicherer, interoperabler und zukunftstauglicher WLANs nach den Standards der Serie IEEE 802.11 zu fördern. Die Richtlinie liefert dazu konkrete Handlungsempfehlungen für die Planung, Auswahl, Installation, Konfiguration, Abnahme, Administration und Außerbetriebnahme von sicheren WLANs, in der Wirtschaft sowie im Behördenbereich. Es werden dazu WLANs unterschiedlicher Größe und unterschiedlicher Anwendung betrachtet.

Oracle veröffentlicht am vierteljährlichen Patch-Day eine Vielzahl von Patches. Mehr als 30 betreffen allein den Datenbank-Server. Mehr in der Information bei heise online.

Das NIST war wieder fleissig. Mehr als 30 Checklisten und Security Guides liegen in einer neuen Version vor.

Roger Odenthal hat freundlicherweise zwei Artikel rund um die elektronische Betriebsprüfung zur Verfügung gestellt. In “Digitale Betriebsprüfung aus Sicht betroffener Unternehmen - Wo bleibt der Beitrag der Finanzverwaltung?” (pdf 161 kb) geht er der Frage nach ob sich die Erwartungen an die Vorteile der neuen Prüfungstechniken erfüllt haben. In dem anderen Beitrag “Fragen und Kommentare zu Vorgaben der Finanzverwaltung” (pdf 212 kb) beschäftigt er sich ausführlich mit den praktischen Problemen der Unternehmen im Zusammenhang mit den GDPdU.

Eine weitere Checkliste (zum Bereich der TK-Anlagen) hat IT-Audit.de erreicht. Herzlichen Dank! Zu finden ist Checkliste hier unter TK-Anlage.

Auf der Webseite der ISACA gibt es die ersten Informationen zu den COBIT 4 welche noch im November 2005 erscheinen sollen. Kapitel 5 der FAQ gibt einen Überblick über die Änderungen.

Das BSI warnt laut Heise Security vor dem Einsatz von Blackberry in sicherheitskritischen und spionagegefährdeten Bereichen. Der Hersteller kann die Warnungen allersings nicht nachvollziehen.

Auf der Webseite des BSI gibt es im Bereich “Kritische Infrastrukturen-Hilfsmittel” eine Beispielrichtlinie zur IT-Sicherheit sowie einen
Basis Standort-Sicherheitscheck.

Das deutsche Chapter der ISACA hat die Termine für die CISA-Vorbereitungskurse für die Juni-Prüfung 2006 veröffentlicht, mehr

Der Bundesrat hat über einen Vorschlag der Bundesländer Hessen und Niedersachsen zur Änderung des BDSG im Bereich der Voraussetzung für die Bestellung eines betrieblichen Datenschutzbeauftragten beschlossen. Der Änderungsentwurf sieht vor, dass sowohl für das Entstehen der Meldepflicht für Verfahren zur automatisierten Verarbeitung personenbezogener Daten als auch für die Bestellung eines betrieblichen Datenschutzbeauftragten die Mindestzahl der mit automatisierter Datenverarbeitung befassten Mitarbeiter von 4 auf 19 erhöht wird. Mehr zu diesem Thema z.B. beim Virtuellen Datenschutzbüro.