|
|
|
|
|
|
IT-Audit.de > II. Quartal 2007
|
|
|
|
|
|
|
|
Literaturtipps
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Meldungen zur IT-Revision, IT-Security und zum Datenschutz - II. Quartal 2007
|
|
|
|
Übersicht
|
|
|
|
|
|
|
|
18. Juni 2007
|
|
|
|
|
|
|
|
Neue Version des Österreichischen Informationssicherheitshandbuchs veröffentlicht. Die beide Teile "Informationssicherheitsmanagement" und "Informationssicherheitsmaßnahmen" wurden auf den neuesten Stand gebracht.
|
|
|
|
|
|
|
|
Das BSI veröffentlicht eine Studie zur IT-Sicherheit und Recht. Die Studie geht umfassend auf Pflichten, Haftungs- und Beweisfragen bei
IT-Herstellern, Nutzern und Dienstleistern ein. Allein das Kapitel “Besondere Sicherheitsanforderungen im Banken und Finanzsektor” umfasst mehr als 60 Seiten. Ein Schwerpunkt hier sind Rechtsfragen im Onlinebanking.
|
|
|
|
|
|
|
|
Das Datenschutzprojekt EuroPriSe (EUROpean PRIvacy SEal) soll ein europäisches Datenschutz-Gütesiegel erarbeiten. Vorbild soll das in Schleswig-Holstein entwickelte Gütesiegel sein.
|
|
|
|
|
|
|
|
11. Juni 2007
|
|
|
|
|
|
|
|
Die Secorvo Security Consulting GmbH hat ein White Paper zum Thema “Das Policy-Rahmenwerk einer PKI” (pdf) veröffentlicht. Das Policy-
Rahmenwerk gibt einen Einblick in die drei Dokumente Certificate Policy (CP), Certification Practice Statement (CPS) und PKI Disclosure Statement (PDS).
|
|
|
|
|
|
|
|
Die Arbeitsgruppe "Informatik-Auditoren der öffentlichen Verwaltungen der Schweiz" hat die Empfehlungen der Schweizerischen Finanzkontrollen für Informatikprojekte an die COBIT 4 angepasst. Download beim Schweizer ISACA Chapter.
|
|
|
|
|
|
|
|
Der CCC hat die Sicherheit von Wahlcomputern untersucht und darüber einen Bericht erstellt. Demnach sind die eingesetzten Wahlcomputer einfach zu manipulieren.
|
|
|
|
|
|
|
|
28. Mai 2007
|
|
|
|
|
|
|
|
Dipl. Kfm. Jörg Altmeier stellt in dem Artikel “Benchmark-Assessment zur SAP-Sicherheit” (doc 646 kb) die von wikima4 in 2007 geplante zweite Studie zur SAP-Sicherheit vor.
|
|
|
|
|
|
|
|
21. Mai 2007
|
|
|
|
|
|
|
|
Das ITGI hat einen Diskussionsentwurf (englisch) zu “IT Control Objectives for Basel II” veröffentlicht. Der Entwurf liefert Rahmenbedingungen für Finanzdienstleister um im Zusammenhang mit Basel II Informationsrisiken zu managen. Es richtet sich an die IT-Fachleute, IT-Revisoren,
IT-Risikomanager und an die Verantwortlichen für Informationssicherheit. Kommentare sind ausdrücklich erwünscht müssen dem ITGI aber bis zum 18. Juni 2007 vorliegen.
|
|
|
|
|
|
|
|
14. Mai 2007
|
|
|
|
|
|
|
|
Das ITGI hat die COBIT 4.1 veröffentlicht. Eine Aufstellung der Änderungen gibt es hier (englisch).
|
|
|
|
|
|
|
|
23. April 2007
|
|
|
|
|
|
|
|
Das BSI hat einen Lagebericht zur IT-Sicherheit 2007 (pdf 2,2 mb) veröffentlicht. Der Bericht beschäftigt sich mit Sicherheitsbewusstsein und -kompetenz, Bedrohungen, neuer Technik, sowie Trends und Aktivität bei Bürgern, Wirtschaft und Verwaltung.
|
|
|
|
|
|
|
|
Ein interessanter Artikel aus dem SANS: “Web Application Auditing Over Lunch” (englisch)! Da immer mehr Unternehmen auf Web-Applikationen setzen, sollte zumindest ein rudimentärer Sicherheitsstandard erreicht werden. Meistens ist leider selbst das Fehlanzeige. Hier also der “Kurzcheck”. Bitte auf jeden Fall den Hinweis des Autors beachten: “ You will need WRITTEN permission from your company to perform this audit. Failure to obtain such permission may get you fired, prosecuted, or worse: your GIAC certifications may be revoked.“ Für Unternehmen die ihre Web-Applikationen ausgelagert haben gilt zusätzlich: “Sie benötigen die Zustimmung ihres Outsourcers”.
|
|
|
|
|
|
|
|
16. April 2007
|
|
|
|
|
|
|
|
Der BITKOM hat eine Rechtsprechungsübersicht (pdf) zum elektronischen Datenzugriff der Finanzverwaltung veröffentlicht. Enthalten sind Kernsätze zu neun Urteilen (mit Aktenzeichen) der Finanzgerichte.
|
|
|
|
|
|
|
|
Oracle veröffentlicht an seinem vierteljährlichen Patch-Day 37 Fixes, zur Meldung bei heise dort ist auch ein Link zur Oracle-Veröffentlichung.
|
|
|
|
|
|
|
|
Drei Artikel zu Oracle Forensics (englisch) auf der Webseite von Next Generation Security Software Ltd. veröffentlicht. Die Themen sind:
- Oracle Forensics Part 1: Dissecting the Redo Logs
- Oracle Forensics Part 2: Locating Dropped Objects
- Oracle Forensics Part 3: Isolating Evidence of Attacks Against the Authentication Mechanism
|
|
|
|
|
|
|
|
Auf der Webseite von JurPC ist ein Artikel zum Thema “Biometrie am Arbeitsplatz - Konkrete Ausgestaltung der Mitbestimmung - Orientierungshilfe des TeleTrusT e.V. für eine Betriebsvereinbarung beim Einsatz biometrischer Systeme” erschienen.
|
|
|
|
|
|
|
|
2. April 2007
|
|
|
|
|
|
|
|
Das BMF hat die “Fragen und Antworten zum Datenzugriffsrecht der Finanzverwaltung” aktualisiert. Der aktuelle Stand ist jetzt Januar 2007.
|
|
|
|
|
|
|
|
Auch der BITKOM hat eine neue Fassung des “Leitfaden zum elektronischen Datenzugriff der Finanzverwaltung” veröffentlicht, der Stand ist jetzt 12/2006.
|
|
|
|
|
|
|
|
Die NSA hat Security Guides zum MacOS veröffentlicht.
|
|
|
|
|
|
|
|
Auf cqure.net gibt es eine kleine Sammlung von db2 Utilities. Sie dienen dazu Systeme zu finden auf denen db2 läuft und das “DB2 Server Database Access Profile” vom Server zu holen.
|
|
|
|
|
|
|
|
Auf der Webseite des BSI sind die neuen Bausteine des Grundschutzhandbuchs veröffentlicht. Hier gibt es eine Übersicht. Die neuen Bausteine sind:
|
|
|
|
 nach oben
|
|
|
|
|
|