|
|
|
|
|
|
IT-Audit.de > I. Quartal 2008
|
|
|
|
|
|
|
|
Meldungen zur IT-Revision, IT-Security und zum Datenschutz - I. Quartal 2008
|
|
|
|
Übersicht
|
|
|
|
|
|
|
|
31. März 2008
|
|
|
|
|
|
|
|
Der Bericht "Die Lage der IT-Sicherheit in Deutschland 2007" (pdf, 2,2 mb) des BSI gibt einen Überblick über die gegenwärtigen und künftigen Risiken, Herausforderungen und Trends und erlaubt ihre Einordnung und Bewertung.
|
|
|
|
|
|
|
|
Das BSI hat den Standard 100-4 zum Notfallmanagement (pdf, 1 mb) überarbeitet und zum Download zur Verfügung gestellt. Kommentare und Anregungen kann man bis Ende April an die E-Mail-Adresse gshb@bsi.bund.de senden.
|
|
|
|
|
|
|
|
Das deutsche OWASP Chapter hat Best Practices zum Einsatz von Web Application Firewalls (pdf, 162 kb) veröffentlicht. Das Dokument wendet sich an technische Entscheider - z.B. Betriebs- oder Sicherheitsverantwortliche, gibt aber auch Hinweise zu den organisatorischen Abläufen bei Installation und Betrieb einer Web Application Firewall (WAF).
|
|
|
|
|
|
|
|
Auf der Webseite der Secorvo ist eine aktuelle Fassungen des White Papers "Das Policy-Rahmenwerk einer PKI" (pdf 214 kb) verfügbar.
|
|
|
|
|
|
|
|
24. März 2008
|
|
|
|
|
|
|
|
Die ISACA hat eine neue Audit Guideline (Review of Security Management Practices) erstellt und zur Kommentierung bereitgestellt. Ab Mai gelten die neuen Fassungen der folgenden Guidelines:
- G2 Audit Evidence Requirement
- G4 Outsourcing of IS Activities to Other Organisations
- G6 Materiality Concepts for Auditing Information Systems
- G39 IT Organisation
|
|
|
|
|
|
|
|
Das IIA hat zwei neue Guides “GAIT for IT General Control Deficiency Assessment” und “GAIT for Business and IT Risk veröffentlicht”. Zu finden sind diese auf der GAIT-Sektion der Webseite der IIA.
|
|
|
|
|
|
|
|
Das NIST hat eine neue Fassung des “Computer Security Incident Handling Guide” (pdf, englisch, 1942 kb) veröffentlicht.
|
|
|
|
|
|
|
|
Auf der Webseite von Marie Wagener gibt es eine kleine Einführung (englisch) in ausgewählte Security-Parameter von SAP NetWeaver. Der Artikel ist auch als pdf verfügbar (79 kb).
|
|
|
|
|
|
|
|
3. März 2008
|
|
|
|
|
|
|
|
Das BSI hat die 9.te Ergänzungslieferung des IT-Grundschutzhandbuchs online gestellt. Neue Bausteine sind:
Geänderte Bausteine sind:
Außerdem wurden Gefährdungen und Maßnahmen ergänzt bzw. aktualisiert. Hier eine Übersicht über die Änderungen.
|
|
|
|
|
|
|
|
Leitfaden Schutz kritischer Infrastrukturen vom BMI veröffentlicht. Der Leitfaden richtet sich an die Betreiber kritischer Infrastrukturen (Transport und Verkehr, Energie, Gefahrenstoffe, Informationstechnik und Telekommunikation, Finanz-, Geld und Versicherungswesen, Versorgung, Behörden, Verwaltung und Justiz; siehe KRITIS). Er beschreibt Methoden zum Risiko- und Krisenmanagement und enthält praktische Beispiele und Checklisten.
|
|
|
|
|
|
|
|
Logdatenstudie vom BSI veröffentlicht. Die Logdatenstudie beschreibt die Formate der Logdateien wichtiger Systeme und Anwendungen, die Protokolle zur Übertragung von Logdaten und Anwendungen zur Auswertung der Logdaten. Außerdem wird anhand der fiktiven IT eines genauso fiktiven Unternehmens ein praktisches Umsetzungsbeispiel dargestellt. Aufgrund des Umfangs der Studie von fast 300 Seiten habe ich mir diese noch nicht im Detail angesehen aber als Startpunkt und Nachschlagewerk dürfte sie wohl sehr gut geeignet sein. Vermisst habe ich bei der schnellen Durchsicht allerdings ein Kapitel zu rechtlichen Grundlagen bzw. Einschränkungen.
|
|
|
|
|
|
|
|
25. Februar 2008
|
|
|
|
|
|
|
|
Die ISACA hat vier Audit Guidelines (Audit Sampling, Effect of Pervasive IS Controls, Organisational Relationship and Independence, Use of Risk Assessment in Audit Planning) überarbeitet und zur Kommentierung bereitgestellt. Ab Februar bzw. März gelten ausserdem die neuen Fassungen der folgenden Standards und Guidelines:
- S15 IT Controls
- S16 E-commerce
- G5 Audit Charter
- G38 Access Controls
- G1 Using the Work of Other Experts
- G3 Use of Computer Assisted Audit Techniques (CAATs)
- G7 Due Professional Care
- G8 Audit Documentation
|
|
|
|
|
|
|
|
18. Februar 2008
|
|
|
|
|
|
|
|
ITGI veröffentlicht Statusreport (pdf, 73 Seiten, 7020 kb, englisch) zur IT-Governance. Der Report setzt die Reihe der Untersuchungen aus den Jahren 2003 und 2005 fort.
|
|
|
|
|
|
|
|
A-SIT das österreichische Zentrum für sichere Informationstechnologie veröffentlicht einen Leitfaden zur sicheren Verwendung von Chipkarten-
Lesern (pdf, 8 Seiten, 467 kb). Das Dokument erläutert die elektronische Signatur, beschreibt verbleibende Risiken und gibt Handlungsempfehlungen.
|
|
|
|
|
|
|
|
4. Februar 2008
|
|
|
|
|
|
|
|
Die Service Network GmbH stellt das IT-Grundschutz-Tool verinice kostenlos zur Verfügung. Das Tool ist allerdings noch in der Entwicklung. Die Screenshots sehen schon recht vielversprechend aus.
|
|
|
|
|
|
|
|
Das US-amerikanische CERT hat neue Studien zur Bedrohung durch Innentäter veröffentlicht. Es gibt eine Studie über den Informations- und Telekommunikationstechniksektor und eine über den öffentlichen Sektor.
|
|
|
|
|
|
|
|
28. Januar 2008
|
|
|
|
|
|
|
|
Die Landesinitiative »secure-it.nrw« bietet eine kostenlose Basisprüfung der IT-Sicherheit für Unternehmen mit ca. 5 bis 100 PC-Arbeitsplätzen in Nordrhein-Westfalen an. Ein Anspruch auf die Durchführung besteht allerdings nicht, Grundlage ist ein an den IT-Grundschutz angelehnter Fragenkatalog.
|
|
|
|
|
|
|
|
22. Januar 2008
|
|
|
|
|
|
|
|
Der COBIT Focus 1/2008 (englisch), der COBIT Newsletter der ISACA, ist erschienen. Themen im Januar sind unter anderem:
- Basel II und COBIT
- COBIT als Metaframework zur Compliance
- ITIL v3 und COBIT
|
|
|
|
|
|
|
|
BITKOM veröffentlicht Leitfaden zur Fehlerklassifikation von Software. Der Leitfaden ist in erster Linie für Software entwickelnde Unternehmen gedacht und soll bei der Erarbeitung und Verbesserung von unternehmensspezifischen Fehler-Klassifizierungen eine Hilfe geben.
|
|
|
|
|
|
|
|
Vorstudie zur GRID-Sicherheit vom BSI. Die Vorstudie beschriebt den Status der Grid-Technologie unter den Aspekten Sicherheit und Wirtschaftlichkeit.
|
|
|
|
|
|
|
|
Literaturtipps
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
14. Januar 2008
|
|
|
|
|
|
|
|
In dem im November 2007 veröffentlichten Report haben das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und die Professur Datenschutz und Datensicherheit der Technischen Universität (TU) Dresden die “Verkettung digitaler Identitäten” untersucht. Der Bericht enthält die Bestandsaufnahme von Datensammlungen und Verkettungsmöglichkeiten in Verwaltung, Wirtschaft und Internet-Communities. Außerdem werden die Techniken zur Verkettung vorgestellt. Der Report ist abrufbar beim ULD und soll auch als Buch erscheinen
|
|
|
|
|
|
|
|
Der BITKOM hat einen Leitfaden zur “Datenspiegelung über große Entfernungen” veröffentlicht. Er beschreibt aktuelle Techniken und Restriktionen, die Vor- und Nachteile und die möglichen Einsatzgebiete von Wide-Area-Technologien.
|
|
|
|
|
|
|
|
Das BSI hat ein Sicherheitskompendium für Service-orientierte Architekturen (SOA) veröffentlicht. Der Leitfaden zeigt die Grundbegriffe von SOA auf und führt in Sicherheitsaspekte ein. Außerdem stellt er Konzepte und Technik, sowie ein mögliches Konzept für eine sichere Infrastruktur vor.
|
|
|
|
|
|
|
|
8. Januar 2008
|
|
|
|
|
|
|
|
Auf der Webseite von Intel gibt es ein Dokument zum Thema Return on Security Investment (pdf 289 kb, englisch). Diese beschreibt das Modell welches Intel benutzt um den ROSI zu bestimmen.
|
|
|
|
|
|
|
|
Literaturtipps
|
|
|
|
|
|
|
|
|
|
|
|
 nach oben
|
|
|
|
|
|