Übersicht

Marc Ruef hat auf seiner Webseite computec.ch die Alpha-Version des COMINT (Computer Intelligence) online gestellt. Dies ist ein Experten-
System, das Benutzer, vorwiegend Security Consultants, durch verschiedene Tätigkeiten aus dem Bereich der Computersicherheit begleiten soll. Diese erste Version kann sich beispielsweise mit Mapping-Techniken und Route-Traceing auseinandersetzen. Eine äußerst spannende Idee deren weitere Entwicklung man verfolgen sollte.

Das BSI hat das Grundschutzhandbuch in der Version 2005 online gestellt. Endlich ist auch der heißersehnte Windows XP-Baustein offiziell freigegeben. Der SAP-Baustein, dessen Entwurf im Herbst 2005 zur Diskussion gestellt wurde, ist leider nicht mit dabei. Weitere neue Bausteine sind:

• 1.13 IT-Sicherheitssensibilisierung und -schulung,
• 2.10 Mobiler Arbeitsplatz,
• 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume.

Der Umfang des Papierwerkes ist auf mehr als 3000 Seiten angestiegen. Dies ist wohl auch durch 66 neue Maßnahmen bedingt. Das gesamte GSHB ist jetzt auf das Schichtenmodell umgestellt. Die Nummerierung der Bausteine hat sich dadurch komplett geändert, dadurch zeigten auch alle Links von IT-Audit.de auf Fehler- oder falsche Seiten. Inzwischen müsste ich alle “Kandidaten” erwischt haben. Wenn noch jemand einen fehlerhaften Link findet freue ich mich über ein eMail. Vielen Dank an Horst Pittner für die schnelle Information!

Neuer Artikel von Christoph Wildensee zum Thema “Überblick über die SAP R/3 IS-U-Funktions- und Berechtigungsanpassungen durch IDEX-GE” (pdf 129 kb, download von der Webseite von Christoph Wildensee).

Nach einer Studie von Deloitte zum Retailbanking spielt in der Loyalität des Bankkunden zu seiner Bank Vertraulichkeit und Datenschutz eine viel wichtigere Rolle (86 %) als das Angebot von wettbewerbsfähigen Preisen und Raten (56 %). Dabei sind 69 % der Kunden mit der Vertraulichkeit und 37 % mit den Preisen sehr zufrieden. Andererseits geben nur 3 % der Kunden als Grund für Unzufriedenheit mit der Bank unzureichende Vertraulichkeit bzw. Datenschutz an, gegenüber 24 % der Kunden welche zu hohe Gebühren beklagen. Dies sieht zunächst nach einem  Widerspruch aus. Es könnte sein, dass Kunden, welche die Vertraulichkeit ihrer Daten nicht gewährleistet sahen, nicht mehr lange zögern die Bank zu wechseln. Da, ebenfalls nach dieser Studie, 81 % der Kunden über eine Änderung der Bankverbindung nachdenken, kann also ein Mangel in der IT-Sicherheit bzw. beim Datenschutz schnell zum Auslöser für einen Wechsel werden. Zur Pressemitteilung von Deloitte, dort kann auch die gesamte Studie (englisch) herunter geladen werden.

Das Unabhängige Landeszentrum Schleswig-Holstein hat eine Studie (Download beim BMELF, Pressemitteilung des ULD) zu Chancen und Risiken von Scoring-Systemen zur Beurteilung der Kreditwürdigkeit von Verbrauchern veröffentlicht. Die Untersuchung des ULD hat ergeben, dass “die Praxis des Scoring häufig gegen das Datenschutzrecht verstößt: Die Verbraucher werden nicht ausreichend über die Bedeutung des Scoring und seine Zusammensetzung informiert, die einschlägigen Rechtsgrundlagen werden nicht beachtet und Kreditanträge werden allein aufgrund eines negativen Scoring-Wertes automatisiert abgelehnt, ohne dass eine individuelle Prüfung erfolgt.”

Auf der Webseite “Mittelstand sicher im Internet” gibt es einen Artikel über IT-Sicherheitsrichtlinien für Mitarbeiter. Der Artikel ist ansprechend gestaltet und liefert Informationen zu Grundlagen für Richtlinien, weiterführende Links sowie ein Beispiel.

Roger Odenthal hat auf seiner Webseite einen Leitfaden (pdf 750 kb) über “IT-Prozesse und begleitende Dokumentation” veröffentlicht. Dieser gibt einen Überblick über die gesetzlichen und sonstigen Grundlagen für die Erfordernis der Dokumentation, über die Dokumentationsbestandteile sowie die Aufbewahrungsfristen.

IBM veröffentlicht Patches für kritische Lücken im Notes und iNotes Client. Durch das Öffnen eines manipulierten Dateianhang kann sich ein Benutzer mit einem Trojaner zu infizieren. Bei Heise Security gibt es dazu einen Artikel mit Links zu den Mitteilungen von IBM und den Analyse von Secunia.

Schwachstellen in der Middleware-Komponente SAP Business-Connector gefunden. Betroffen sind der Business-Connector 4.6 und 4.7; von SAP sind Patches verfügbar. Heise Security berichtet.

Das NIST hat eine Reihe (mehr als 30) von Updates für seine Checklisten und Security Guides veröffentlicht. Diese reichen vom Active Directory bis zur Wireless Security.

Die ) scip AG ( hat freundlicherweise den Artikel “Citrix under atttack” (pdf 498 kb) zur Verfügung gestellt. Marc Ruef, Security Consultant bei der ) scip AG ( und Betreiber der Webseite computec.ch,  beschäftigt sich darin mit der privileg escalation in einer Citrix Metaframe Multiuser-
Umgebung.

EU-Datenschutzgruppe beschließt Empfehlung zu firmeninternen Telefonhotlines (sog. Whistleblowing Systeme) und legt weitere Arbeitsschwerpunkte fest, zur Pressemeldung.

Das Virtual Training Environment (VTE) ist eine Web-basierte Bibliothek rund um die IT-Sicherheit. Das VTE wird vom CERT-Programm des Software Engineering Institutes der Carnegie Mellon University bereitgestellt. Weite Teile des Angebots sind kostenlos zugänglich.

Lücken in Java erlauben vollen Zugang zum Dateisystem mit den Rechten des Benutzers. Wie heise online berichtet sind sämtliche Versionen des Software Development Kits (SDK) und des Java Runtime Environments (JRE) der Serien 1.3 und 1.4, die Laufzeitumgebung Java 2 Standard Edition (J2SE) und das Java Development Kit (JDK) der aktuellen Serie 5.0 unter Windows, Solaris und Linux betroffen. Ein Advisory und Upgrade von SUN ist verfügbar.

Arbeitnehmer dürfen Telefon und Internet am Arbeitsplatz zu privaten Zwecken nutzen, wenn kein ausdrückliches Verbot existiert. Zur Meldung bei heise online.

Die REVIDATA GmbH hat freundlicherweise zwei Artikel zur Verfügung gestellt. Der erste (pdf 47 kb) entwickelt ein Bewertungsschema für die Bewertung von Verfahrensdokumentationen nach IDW PS 880. Im zweiten (pdf 34 kb) geht es um Brände in Serverräumen am Beispiel von zwei mittelständischen Unternehmen.

Bei heise Security sind der zweite und dritte Teil des Artikels zum Thema Windows RootKits erschienen. Der zweite Teil wagt einen Blick in die Zukunft und beschäftigt sich mit den zu erwartenden Techniken. Der dritte Teil stellt Tools und Techniken vor mit denen RootKits aufgespürt werden können.

Prof. Dr. Thomas Hoeren, Leiter des ITM (Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster) hat eine aktualisierte Version seines Skriptums Internetrecht veröffentlicht. Das Skriptum bietet einen strukturierten Aufbau: vom Domain-Recht über das Immaterialgüterrecht, Wettbewerbsrecht, Vertragsrecht, E-Commerce-Richtlinien und Datenschutzrecht werden alle Rechtsgebiete mit dem Bezug zu internetspezifischen Themen abgehandelt. Darüber hinaus bietet das Skriptum Gesetzestexte und Musterverträge. Der Umfang erreicht deswegen über 500 Seiten.

Oracle veröffentlicht Patches für über 100 Schwachstellen. Die Patches betreffen den Datenbankserver, den Anwendungsserver, die  Collaboration Suite sowie die E-Business-Suite. Außerdem Peoplesofts Enterprise sowie JD Edwards EnterpriseOne. Zur Meldung (englisch) von Oracle.

Bei der Treuhandkammer der Schweiz gibt es das Dokument “Berücksichtigung des IT-Umfeldes und Einfluss auf das Prüfungsvorgehen”
(pdf 1,35 mb). Es richtet sich vornehmlich an die Wirtschaftsprüfung ist aber sicherlich auch für die Interne Revision, nicht nur in der Schweiz, interessant. Es enthält eine Methode wie die IT-Umgebung in den Prüfungshandlungen des Wirtschaftsprüfers berücksichtigt werden soll, sowie praktische Beispiele zu Art und Umfang der zu erforderlichen Prüfungen und praxisbezogene Hinweise für den Einsatz computergestützter Prüfungstechniken. Es basiert auf den schweizerischen Prüfungsstandards welche wiederum auf den internationalen Standards der IFAC
basieren.

Bei heise Security ist der erste Teil eines Artikels zum Thema Windows RootKits erschienen. Der erste Teil erläutert die Grundlagen im Betriebssystem, was RootKits sind und wie sie generell funktionieren.

Application Security Inc. hat ein Whitepaper “Database Activity Monitoring: Intrusion Detection & Security Auditing” (pdf 140 kb) zur Überwachung und Prüfung von Datenbanken erstellt. Dieses geht sowohl auf Microsfts SQL Server als auch auf Oracle ein. Ziel ist es unter anderem die anfallenden Log-Daten zu begrenzen, damit die wichtigen Informationen nicht in der Informationflut untergehen.

Das BSI veröffentlicht drei neue Standards:

• BSI-Standard 100-1 Managementsysteme für Informationssicherheit (ISMS) Version 1.0 (pdf 385 kb) - beschreibt wie ein ISMS aufgebaut werden kann. Er soll vollständig kompatibel zum ISO-Standard 27001 sein und auch die Empfehlungen der ISO-Standards 13335 und 17799 berücksichtigen.
• BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise Version 1.0 (pdf 1,15 mb) - beschreibt die IT-Grundschutz-Vorgehensweise zur Erstellung eines IT-Sicherheitskonzeptes, unter Berücksichtigung des BSI Standards 100-1.
• BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz Version 2.0 (pdf 289 kb) - beschreibt eine Methodik zur Durchführung von IT-Risikoanalysen, unter Verwendung der in den IT-Grundschutz-Katalogen beschriebenen Gefährdungen.

Das NIST hat einen Security-Guide für IPSec VPNs (pdf 3,9 mb) veröffentlicht.

Alles Lesern wünsche ich ein freudiges und erfolgreiches 2006! Ich bedanke mich recht herzlich für Ihr Interesse an dieser Webseite und die vielen Vorschläge und Hinweise die mich erreicht haben. Ich hoffe, dass ich Sie auch im Jahr 2006 bei IT-Audit.de und Revision-Online.de zahlreich begrüssen darf und freue mich wieder auf interessante Diskussionen in den Foren.

Zur Zeit führen die amerikanischen Kollegen bei den Checklisten 1372:27. 2005 kamen 13 Checklisten dazu. Dies entspricht immerhin einer Steigerungsrate von 93%! Es wäre schön wenn wir dies in 2006 wieder erreichen könnten.

Für uns (IT-)Prüfer sind Ende letzten Jahres noch zwei wichtige Dokumente erschienen, nämlich die COBIT 4 und die MaRisk, unten lesen Sie mehr.

Die COBIT 4 sind erschienen. Im Vergleich zur Vorgängerversion sind jetzt Control Objectives und Management Guidelines in einem Dokument zusammengefasst. Hier ein Überblick über die Änderungen:

• die Domäne M wurde in Monitor and Evaluate (ME) umbenannt. Die Prozesse M3 und M4 wurden gestrichen. Diese bezogen sich eher auf Revision und Prüfung (nicht auf die IT) und werden durch andere Standards abgedeckt. Der neue Prozess ME3 hat den Inhalt von PO8 übernommen. ME4 beschäftigt sich mit der Integration der IT Governance in die Corporate Governance.
• da in der Domäne PO der Prozess PO8 durch die Verschiebung nach M frei wurde, enthält der neue PO8 jetzt die Inhalte des alten PO11 (Manage Quality). Damit hat die Domäne PO nur noch 10 Prozesse.
• neu ist in der Domäne AI der Prozess AI7. In diesen wurden die Inhalte des AI5 übertragen und um Control Objectives zum Releasemanagement ergänzt. AI5 beschäftigt sich jetzt mit Kosteneffizienz der IT und dem Beitrag der IT zur Rentabilität. Die Domäne AI enthält jetzt also sieben statt bisher sechs Prozessen.
• die Control Objectives wurden um fast ein Drittel von 318 auf 214 reduziert. Dies wurde größtenteils dadurch erreicht, dass die allgemeinen Kontrollen nur noch einmal vorhanden sind und nicht mehr in den Prozessen wiederholt werden.
• die Management Guidelines wurden um Prozessinput und -output ergänzt. Außerdem gibt es nun eine Zuordnung der Aktivitäten zu den betrieblichen Funktionen. In diesem RACI-Chart (Responsible, Accountable, Consulted, Informed) wird auch die jeweilige Beteiligung/Verantwortung der Funktion definiert. Entfallen sind die kritischen Erfolgsfaktoren, welche durch Input und Aktivitätsziele ersetzt wurden. Insgesamt wurde die Zielhierarchie und die Messung komplett überarbeitet.
• die IT-Ressoucen wurden durch die Zusammenlegung von Technology und Facilities zu Infrastructure von fünf auf vier verdichtet.
• zu jedem Prozess ist seine Auswirkung auf die fünf Schwerpunkte der IT-Governance als primär oder sekundär vermerkt.

Die COBIT 4 können bei der ISACA heruntergeladen werden. Es ist allerdings eine Registrierung erforderlich.

Bei heise mobil gibt es einen interessanten Artikel zur Überwachung von WLANs. In dem Artikel werden drei Werkzeuge untersucht die Eindringlinge in ein WLAN erkennen können.

Die BaFin hat die MaRisk veröffentlicht welche die MaH, MaK und MaIR, sowie einige weitere Schreiben der Aufsicht, ablösen. Grundsätzlich wird die Eigenverantwortung der Institute durch die Öffnungsklauseln und die Erfordernis einer risikoadäquaten Umsetzung gestärkt. Die MaRisk und die Anlagen sind unter Rundschreiben 2005 bei der BaFin zu finden.