http://www.gai-netconsult.de Neuigkeiten "de-de" Christian Friedsam "Thu, 26 Aug 2010 6:58:00" http://www.gai-netconsult.de/images/favicon.ico http://www.gai-netconsult.de Mit wachsender Abhängigkeit fast aller Unternehmen von einer funktionierenden IT rückt auch das Thema Notfallplanung immer stärker in den Fokus der notwendigen Sicherheitsvorkehrungen. Maßnahmen hierzu werden zunehmend wichtiger und unterstützen die Aufrechterhaltung des Geschäftsbetriebes nach einem Schadensfall. Aber noch immer scheuen Unternehmen den damit verbundenen Aufwand, obwohl dieser durchaus minimiert werden kann. Die Orientierung an Notfallszenarien ist eine praktikable und ressourcenschonende Herangehensweise für die Erstellung von modular erweiterbaren Notfallkonzepten. Der Artikel "Erstellung szenariobasierter Notfallkonzepte" gibt zunächst eine Einführung in die Thematik und beschreibt dann die wesentlichen Phasen des Business Continuity Managements für den IT-Bereich. Dabei geht er auch auf Aspekte der praktischen Umsetzung und den unterstützenden Einsatz von Softwaretools ein. Der Artikel "Sicherheit in Datennetzen auf der OSI-Schicht 2 – Teil 2" setzt die Ausführungen zur Sicherheit in geswitchten Umgebungen aus dem Security Journal #58 fort. Dieser zweite Teil nimmt Bezug auf Layer-2-Protokolle, die für das Funktionieren einer komplexen geswitchten Struktur nötig (STP / RSTP) oder zumindest nützlich (VTP) sind. Daneben sollen Möglichkeiten beschrieben werden, wie Switches zur Traffic-Steuerung (Traffic control) genutzt werden und wie man mit Hilfe von Private VLANs bzw. VLAN ACLs eine Separierung / Filterung von Datenströmen, ähnlich einer DMZ-Struktur, realisieren kann. Damit können Switches ihrer universellen Rolle innerhalb einer Sicherheitsstrategie für Daten-/ Kommunikationsnetze gerecht werden, sind diese Techniken doch eine sinnvolle Ergänzung zu Technologien wie 802.1x, AAA, DMZ-Segmentierung oder komplexem Firewalling. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #60 "Mon, 23 Apr 2012 10:00:00 CET" Und wieder müssen wir uns unserem aktuellen Lieblingsthema widmen, der Sicherheit im Bereich der industriellen IT. Mitte Januar fand in den USA die führende Fachveranstaltung zur IT-Sicherheitsthematik für Leit- und Steuerungstechnik statt, das SCADA Security Scientific Symposium. Der Teilnehmerkreis umfasste neben Sicherheitsexperten auch Vertreter von Komponentenherstellern und Betreiber aus der Industrie, so dass neben den Vorträgen insbesondere auch der fachliche Austausch zwischen den Konferenzbesuchern im Vordergrund statt. Der Artikel "Project Basecamp – ein drastischer Weckruf für die Leittechnik" fasst die wichtigsten Ergebnisse aus Sicht eines Teilnehmers zusammen und geht auch auf die heftigen Kontroversen über das fragwürdige Sicherheitsniveau in der Leittechnik ein. Ein weiteres akutes Minenfeld betrifft den Einsatz von Webanwendungen. Werden durch diese zunehmend auch sensible Geschäftsabläufe von Unternehmen abgebildet, so hat die Qualität gerade im Bereich der sicheren Softwareentwicklung damit nicht wirklich Schritt gehalten. Kann man durch periodisch durchgeführte Scan- und Penetrationstests wenigstens nachträglich noch die schlimmsten Schwachstellen aufdecken, so wäre eine frühzeitige und möglichst vollständige Entdeckung natürlich wesentlich wünschenswerter. Der Artikel "Source Code Scanner - sinnvoll einsetzbar?" widmet sich dem aktuellen Stand der automatisierten Überprüfung auf der Ebene des Quellcodes und bezieht sich hierzu auf unsere Erfahrungen aus einigen Produktevaluierungen und Projekteinsätzen. Den Abschluss dieser Ausgabe bildet ein kurzer Hinweis auf die "Nessus Version 5 mit interessanten neuen Features". http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #59 "Thu, 22 Feb 2012 10:00:00 CET" Zum Jahresende können wir wieder eine umfangreicher Ausgabe des Security Journals mit gleich drei Beiträgen präsentieren, die zudem eine hohe fachliche Spannbreite aufweist. Der Artikel "USB = Universal Security Backdoor" legt bereits nahe, worum es geht: die weiter ansteigende Gefahr durch manipulierte USB-Geräte. Nicht nur die nahezu unüberschaubaren Einsatzmöglichkeiten von USB bei Datensticks bis hin zu Digitalkameras, sondern die damit auch unweigerlich verbundenen Sicherheitsrisiken müssen eigentlich jedem IT-Verantwortlichen Kopfzerbrechen bereiten. Neben altbekannten Manipulationsmöglichkeiten werden auch neue Angriffe aufgezeigt, die gerade im Zusammenspiel mit USB-fähigen Smartphones zukünftig ein hohes Missbrauchspotential erwarten lassen. Werden heutzutage von Sicherheitsexperten zumeist Probleme im Bereich höherer Kommunikations- und Anwendungsebenen untersucht, so gilt es nach wie vor auch ein Augenmerk auch auf die unteren Übertragungsebenen wie die OSI-Schicht 2, die Sicherungsschicht, zu richten. Viele Angriffe zielen auch jetzt noch auf die LAN-Strukturen mit den Komponenten Router, Hosts oder dem Netzwerk an sich. Der Artikel "Sicherheit in Datennetzen auf der OSI-Schicht 2" beschreibt einige der Risiken, die der Schicht 2 des OSI-Modells zugeordnet werden können und zeigt mögliche Gegenmaßnahmen bezogen auf die Switching-Infrastruktur auf. Nicht nur beim Betrieb der industriellen IT, aber ganz besonders hier, wird großer Wert auf einen weitgehend störungsfreien Betrieb gelegt. Neben dem sicheren und auf Robustheit ausgelegten Systemdesign nimmt dabei auch die Dokumentation des Betriebs eine zentrale Position ein. In dem Artikel "Robuste IT-Systeme in der industriellen IT" werden grundlegende Prinzipien und Betrachtungsweisen zusammenfassend skizziert. Dazu wird zunächst die Definitionen von Robustheit und Anfälligkeit beschrieben. Darauf folgend werden Grundsätze mit allgemeiner Geltung bezüglich der so definierten "Cyber-Robustheit" aufgeführt und grundlegende Strategien zur Generierung robuster kurz Systeme vorgestellt. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #58 "Thu, 22 Dec 2011 10:00:00 CET" Vom 18. bis 19. Januar 2012, veranstaltet Digital Bond im Florida International University (FIU) Konvens Conference Center in Miami Florida (USA) eine Konferenz zum Thema Sicherheit von SCADA-und Steuerungssystemen. Vortrag: "Technical Security in Smart Metering Devices: A German Perspective" am 18.01.2011 (10.00 - 10:30 Uhr) von Dr. Stephan Beirer und Holm Diening (GAI NetConsult GmbH) http://www.gai-netconsult.de/de/news/index.html#S4 GAI NetConsult GmbH Redaktion S4 "Thu, 10 Nov 2011 13:00:00 CET" Bei der Planung und Umsetzung von Sicherheitsmaßnahmen im Unternehmen spielen die Parameter "Kosten" und "Schutzwirkung" natürlich immer eine besondere Rolle und werden herangezogen, wenn es um die Rechtfertigung solcher Investitionen geht. Zumeist wird das Ergebnis dann den Mitarbeitern "vorgesetzt", vertrauend darauf, dass diese sich schon folgsam zeigen werden. Die Realität sieht dann aber oft anders aus, nicht selten werden einige der Sicherheitsvorgaben als zu aufwendig und eher verzichtbar empfunden und dann auch nur unzureichend befolgt. Der Artikel "Vom Umgang mit tanzenden Schweinen" will aufzeigen, dass der Schlüssel für den Entwurf, die Auswahl und die Effizienz von organisatorischen Sicherheitsmaßnahmen in der Kooperation zwischen Anwender und Unternehmen liegt und dass ein Verständnis des Verhaltens des Anwenders, seiner Arbeitsweise und Motivation hierzu notwendig ist. Unternehmerische Entscheidungen, wie die der Einführung von Cloud-Computing, müssen immer in einem Gesamtkontext gesehen werden. Die Auslagerung bestimmter IT-Bereiche hat natürlich immer Auswirkungen auf die vorhandenen Geschäftsprozesse, die strategischen und vielleicht auch finanziellen Vorteile blenden aber viel zu häufig die damit auch verbundenen Risiken aus. Der Artikel "Einführung einer Cloud-Lösung" ist ein Auszug aus der Master-Thesis des Autors und behandelt insbesondere einige Fragen zu Sicherheitsrisiken, die mit der Einführung von Cloud-Lösungen verbunden sind. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #57 "Mon, 24 Oct 2011 15:00:00 CET" Mit dem (erfolgreichen) Stuxnet-Angriff auf eine Siemens SIMATIC-Prozessleittechnik im Sommer 2010 scheint die "Büchse der Pandora" geöffnet worden zu sein. Immer neue Fälle der Aufdeckung von Schwachstellen im Umfeld von Steuerungsanlagen der Prozessleittechnik schrecken in letzter Zeit sowohl Betreiber als auch Systemhersteller auf. Dabei stellt sich automatisch die Frage, von welcher Qualität die Softwareentwicklung in diesem Bereich eigentlich ist. Eine Vielzahl von kürzlich identifizierten Schwachstellen in Siemens S7-Steuerungskomponenten machen nun klar, dass diese Sicherheitsprobleme keineswegs nur auf die eingesetzten PC-basierten Komponenten beschränkt sind, sondern dass auch Automatisierungskomponenten aus der Familie der speicherprogrammierbaren Steuerungen betroffen sind. Der Artikel "Tanzende Affen und andere Schwachstellen in SIMATIC S7-Steuerungen" zeigt die neuesten Entwicklungen hierzu auf und schließt damit nahtlos an mehrere hierzu im Security Journal veröffentlichte Artikel an. Die Virtualisierung von physischen Rechnerressourcen ist eine der spannendsten Entwicklungen der letzten Jahre. War dies zunächst auf Host-Umgebungen sowie einzelne Rechenzentren beschränkt, die Speziallösungen von Sun oder IBM einsetzten, so gibt es heute kaum ein Unternehmen, in dem sich nicht im IT-Serverbereich zumindest einige virtualisierte Rechner befinden. Zweck des Einsatzes solcher Lösungen ist vor allem die effizientere Nutzung der Hardware sowie die höhere Flexibilität durch eine dynamische Zuweisung von Ressourcen. Im Zuge derartiger Überlegungen wird häufig eine vollständige Umstellung auf virtuelle Systeme angestrebt. Dem stehen aber durchaus berechtigte Sicherheitsbedenken entgegen. Vielen Verantwortlichen ist dabei unklar, unter welchen Umständen der Einsatz von Virtualisierungslösungen auch aus Sicherheitssicht vertretbar ist und wo nicht. Der Artikel "Sicherheitsbetrachtungen zur Virtualisierung bestehender IT-Umgebungen" soll an einem fiktiven Beispiel die notwendigen Überlegungen darstellen, die bei einem Projekt im eigenen Hause vorzunehmen sind. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #56 "Tue, 23 Jun 2011 06:30:00 CET" Seit einiger Zeit ist der Einbau von Smart Metern (intelligenten Haushaltszählern) in Neubauten und bei Renovierungen nach Energiewirtschaftsgesetz (EnWG) vorgeschrieben. Viele Fälle der jüngsten Vergangenheit belegten zur Genüge, dass gerade bei solchen Steuerungskomponenten Themen wie Datenmissbrauch und Manipulation dazu verpflichten, Sicherheitsanforderungen genauestens zu beachten. Da man diese Thematik tunlichst nicht allein den Herstellern überlassen sollte, wurde unter der Federführung des BSI ein Schutzprofil nach den "Common Criteria" für Smart Meter entwickelt. Mittelfristiges Ziel ist es, dass zukünftig alle Smart Meter und deren Kommunikationsgateways nach diesem Schutzprofil zertifiziert werden müssen, bevor sie von der Bundesnetzagentur zum Einbau in die Haushalte zugelassen werden. Der Artikel "Sicherheit im Smart Metering: Das Schutzprofil für künftige intelligente Zähler" beschreibt die wesentlichen Inhalte dieses Schutzprofils. Cloud-Computing ist eines der "heißesten" Themen der letzten Zeit und verspricht dem Nutzer dieser Technik viele Vorteile vom einfachen Zugriff auf beliebige Anwendungen bis hin zu Kosteneinsparungen durch die ökonomische Nutzung von Ressourcen. Die neue Technik hat jedoch auch juristische Implikationen, namentlich Fallstricke im Bereich des Vertragsrechts und insbesondere des internationalen Rechts. Gerade die für den Nutzer oft intransparenten und grundsätzlich auch technologisch nicht klar bestimmbaren Übermittlungen von Daten über Grenzen hinweg und deren Aufbewahrung an einem nicht definierten Ort irgendwo auf einem Server außerhalb der Rechtsordnung des Nutzers ist rechtlich äußerst kritisch zu sehen. Die damit entstehenden Fragen werden im Artikel "Rechtsfragen des Cloud-Computing" ausführlich behandelt. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #55 "Tue, 21 Jun 2011 16:30:00 CET" Vom 14.07. bis 15.07.2011, veranstaltet das EUROFORUM Deutschland SE im Airport Marriott Hotel in München eine Konferenz zum Thema "Intelligenter Datenaustausch zur Steuerung des modernen Verteilnetzes". Unter anderem mit folgendem Vortrag: "Stuxnet und andere Sicherheitsrisiken – Wie anfällig sind Smart Grids?" Vortrag am 15.07.2011 von Dr. Stephan Beirer (GAI NetConsult GmbH). http://www.gai-netconsult.de/de/news/index.html#ETP GAI NetConsult GmbH Redaktion ETP "Mon, 2 May 2011 13:00:00 CET" Vom 17.05. bis 18.05.2011, veranstaltet der Hersteller KISTERS AG im Steigenberger Hotel Frankfurt Airport in Frankfurt am Main ein Praxisforum zu den Themen "Energiemarkt" und "Leittechnik". Unter anderem mit folgendem Vortrag: "Informationssicherheit für moderne Leitsysteme - Umsetzung der BDEW-Anforderungen" Vortrag am 18.05.2011 von Dr. Stephan Beirer (GAI NetConsult GmbH). http://www.gai-netconsult.de/de/news/index.html#KISTERS GAI NetConsult GmbH Redaktion KISTERS "Mon, 2 May 2011 13:00:00 CET" An insgesamt 2 Tagen, vom 23.05. bis 24.05.2011, veranstaltet die ComConsult Akademie im Maritim Hotel in Königswinter das alljährliche "IT-Sicherheits-Forum". Unter anderem mit folgenden Vorträgen: "Angriff auf die Leittechnik - Stuxnet und die Konsequenzen" Vortrag am 23.05.2011, 16:15 - 17:00 Uhr von Dr. Stephan Beirer (GAI NetConsult GmbH) und "Praktische Herangehensweise an BCM Projekte" Vortrag am 23.05.2011, 17:00 - 17:45 Uhr von Holm Diening (GAI NetConsult GmbH). http://www.gai-netconsult.de/de/news/index.html#ITSF2011 GAI NetConsult GmbH Redaktion ITSF2011 "Mon, 2 May 2011 13:00:00 CET" Neben den schon gewohnten und in breiter Front (Botnetze, Wurm-Attacken usw.) vorgetragenen Attacken aus dem Internet waren in den letzten Monaten vermehrt auch gezielt vorgetragene Angriffe zu verzeichnen. Diese richteten sich vornehmlich gegen kommerzielle Unternehmen aber durchaus auch gegen politische Ziele, wie erst unlängst der Stuxnet-Wurm zeigte. Sie zeichnen sich dadurch aus, dass die Angreifer die Ziele und auch die einzusetzenden Angriffstechniken vorher sehr genau bestimmen. Durch diese Fokussierung sind sie in der Lage Angriffe mit hoher Erfolgswahrscheinlichkeit vorzutragen, zudem mangelt es ihnen zumeist weder an genügend Zeit noch an Geldmitteln. In diesem Kontext tauchte auch der neue Begriff der Advanced Persistent Threads oder kurz APT auf. In dem Beitrag "Zunahme gezielter Angriffe - Anatomie des RSA-Hacks" soll deshalb beispielhaft für die dabei verwendete Vorgehensweise der vor kurzem erfolgte Einbruch auf Server des bekannten Sicherheitsunternehmens RSA aufgezeigt werden. Die steigende Tendenz beim Kartenmissbrauch im Fernabsatzgeschäft hat die Kreditkartenorganisationen - vornehmlich VISA und MaserCard - dazu bewogen, ein erweitertes Authentifizierungsverfahren bei Kreditkarten-Online-Transaktionen zu etablieren. Dieses unter dem Schlagwort 3-D-Secure bekannte Verfahren geriet aber bereits kurz nach der Einführung in die fachliche Kritik. Der Artikel "3-D-Secure - Die "neue" Sicherheit im Internet?" wirft einen kritischen Blick auf das neue Verfahren. Auch der Datenschutz soll in dieser Ausgabe wieder einmal thematisiert werden. Viele Unternehmen tragen sich mit dem Gedanken an die Einführung von Voice-over-IP Lösungen. Dabei werden die technischen Aspekte zumeist ausgiebig behandelt, die damit aber einhergehenden potentiellen Möglichkeiten zu einer umfassenden Überwachung der Mitarbeiter eher nur am Rande. Der Artikel "Datenschutz bei Einführung von Voice over IP" beleuchtet demzufolge die zu beachtenden datenschutzrechtlichen Aspekte vor einer Migration zu VoIP. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #54 "Thu, 21 Apr 2011 10:30:00 CET" In das Security Journal #50 hatten wir noch kurzfristig den Beitrag "Wurmangriffe und Hintertüren: Aktuelle Sicherheitsbedrohungen in der Prozessleittechnik" aufgenommen, da der sog. Stuxnet-Vorfall zu der Zeit immer größere Beachtung fand. Stuxnet ist eine Schadsoftware, die Siemens PCS7-Prozesssteuerungssysteme angreift und wohl zielgerichtet für eine bestimmte Umgebung (Irans Atomanlage in Busher) entwickelt wurde. Niemand sollte sich jetzt aber in falscher Sicherheit wiegen und meinen, dass das Problem damit erledigt sei. Stuxnet hat allen gezeigt, dass gezielte Angriffe auch auf vermeintlich gut abgeschottete Produktionssysteme durchaus machbar sind, wenn man nur genügend kriminelle Energie aufbringt. Der Artikel "Stuxnet – Lessons learned?" zeigt nun auf, welche langfristigen Folgen der Vorfall für die Informationssicherheit in modernen Leittechniksystemen haben kann und welche Schutzmaßnahmen die Betreiber solcher Systeme zukünftig ergreifen sollten. Von der Sicherheitstechnik zur Sicherheitsorganisation. Die Notwendigkeit, Sicherheitskonzepte und Sicherheitsrichtlinien in einem Unternehmen zu entwickeln wird wohl jedem einleuchten, aber in der Realität sieht es häufig ganz anders aus. Viele Verantwortliche schieben diese notwendige Arbeit seit Jahren vor sich her und besitzen bestenfalls einige Fragmente, die oft auch eher zufällig bei der Einführung neuer Technologien entstanden sind. Bei anderen Unternehmen wieder trifft man eine Vielzahl sehr unterschiedlich aufgebauter und inhaltlich abgefasster Dokumente an, die aber nicht selten den Mitarbeitern völlig unverständlich oder sogar gänzlich unbekannt sind. In den einschlägigen Standards zur Informationssicherheit findet man durchaus auch Hilfen, so ein Regelwerk aufzusetzen, allein es bleiben einige Fragen nach genauer Strukturierung und inhaltlicher Gliederung offen. Hierzu soll der Artikel "Strukturierter Aufbau von Sicherheitsrichtlinien" einige Anregungen geben. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #53 "Wed, 23 Feb 2011 10:30:00 CET" In Fortsetzung des Artikels zur forensischen Behandlung von Sicherheitsvorfällen (Security Journal #51) wird diesmal auf die spezielle Vorgehensweise bei mobilen Geräten wie Smartphones eingegangen. Diese entwickeln sich wegen ihrer enormen Funktionsvielfalt und der nahezu ungehemmten Verbreitung innerhalb der Unternehmen zu einem immer größer werdenden Sicherheitsproblem. Im Rahmen des geschäftlichen und privaten Gebrauchs werden auf ihnen zunehmend digitale Spuren hinterlassen, die mit ihrer Beweiskraft auch eine entscheidende Rolle bei der Aufklärung von Delikten spielen können. Die Sicherstellung des Telefonspeichers kann sowohl logisch unter Verwendung von Betriebssystem- bzw. Firmware-Funktionen als auch physikalisch durch Auslesen des Flash-Speicherinhaltes erfolgen. Die hierfür notwendigen forensischen Werkzeuge sind hinsichtlich der logischen Datenstrukturen weit entwickelt. Die Analyse von Speicherabbildern und damit die potentielle Möglichkeit gelöschte Daten wiederherzustellen ist allerdings noch ein recht junges Forschungsgebiet. Der Artikel "Mobile Forensics" gibt Hinweise zur sachgerechten Vorgehensweise und zu in Frage kommenden Tools bei der forensischen Analyse solcher mobilen Endgeräte. Ebenfalls fortgesetzt wird der Artikel "Standards und Verfahren für mehr Sicherheit im Software-Entwicklungsprozess" (Security Journal #50). Nach der darin vorgestellten Übersicht zu einigen Ansätzen, nachhaltig Qualität und Sicherheit in den Prozess der Software-Entwicklung zu integrieren, wird im zweiten Teil nun die Darstellung von sog. Reifegradmodellen behandelt. Ein Reifegrad umfasst dabei eine Menge von Prozessgebieten, die zu einem bestimmten Fähigkeitsgrad umgesetzt sein müssen. Ziel ist es, die internen Prozesse und Aktivitäten zur Sicherstellung der notwendigen Maßnahmen / Security Practices anhand der tatsächlich erreichten Ziele zu bewerten und hieraus wiederum Maßnahmen zur Verbesserung der Situation und zur Erhöhung des Reifegrades abzuleiten und letztlich umzusetzen. Solch gute Vorsätze passen doch ideal zum anstehenden Jahreswechsel. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #52 "Tue, 21 Dec 2010 16:30:00 CET" Nicht immer werden Sicherheitsvorfälle rechtzeitig wahrgenommen, aber wenn sich charakteristische Anzeichen hierfür häufen, dann muss schleunigst gehandelt werden. Geht es dann nicht allein darum, vorhandene Schwachstellen schnell zu schließen, sondern auch um die Beweissicherung für evtl. später notwendig werdende gerichtliche Auseinandersetzungen, dann muss mit äußerster Sorgfalt vorgegangen werden. Das setzt aber voraus, dass die handelnden Mitarbeiter die Methoden und Werkzeuge zur Behandlung von Sicherheitsvorfallen kennen und deren Einsatz beherrschen. Die Durchführung der notwendigen Maßnahmen erfolgt erfahrungsgemäß meist unter hohem Zeitdruck. Falsche Reaktionen können aber noch zur Verschlimmerung der Situation beitragen, etwa indem man durch überhastete Entscheidungen versehentlich Daten löscht, die eventuell beweiskräftig gewesen wären. Das gilt insbesondere für die Tätigkeiten am aktiven, nicht ausgeschalteten System. Der Artikel "Live Analyse im Rahmen der Sicherheitsvorfallbehandlung" gibt zur sinnvollen Vorbereitung sachdienliche Hinweise und geht insbesondere auf die digitale Spurensuche direkt im Arbeitsspeicher eines Systems ein, da diese oft die entscheidenden Erkenntnisse für die Aufklärung liefert. Das ITIL-Framework und die ISO 27000 Normenreihen beschreiben international anerkannte Methoden zum Aufbau und Betrieb von Managementsystemen. Dabei gibt auf der einen Seite die ISO 27000 Normenreihe den Rahmen für den Aufbau und den Betrieb eines Information Security Management Systems (ISMS) vor, auf der anderen Seite steht mit ITIL eine Sammlung von Best Practices zum IT Service Management zur Verfügung. Der Zusammenhang der beiden Konzepte wird im Artikel "ITIL und Informationssicherheitssysteme nach ISO 27001" genauer beleuchtet. Beide Konzepte werden kurz vorgestellt, anschließend werden die Überschneidungen und Schnittstellen analysiert. Ein abschließendes Fazit fasst die gewonnenen Erkenntnisse zusammen. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #51 "Thu, 22 Oct 2010 16:30:00 CET" Das Security Journal existiert zwar noch keine 50 Jahre, aber immerhin ist dies nun schon die 50. Ausgabe. Seit dem Juni 2002 haben insgesamt 25 Autoren weit über 100 Fachbeiträge verfasst, ihnen allen gilt unser herzlicher Dank. Ebenso den vielen Abonnenten, deren Anregungen uns jederzeit willkommen waren und sein werden. Diese 50 Ausgaben spiegeln auch ein gehöriges Stück Entwicklung der Security-Szene wieder. Es fällt aber auf, dass viele der schon damals behandelten Themen uns auch heute noch beschäftigen: Beiträge wie "Sicherheitsrisiko Internet Explorer (2002)" oder "Sichere Webapplikationen (2003)" könnten durchaus auch aus dem Jahre 2010 stammen. Nehmen wir also die nächsten 50 Ausgaben in Angriff, halten Sie uns die Treue und empfehlen Sie das Security Journal weiter. Aus aktuellem Anlass haben wir den Beitrag "Wurmangriffe und Hintertüren: Aktuelle Sicherheitsbedrohungen in der Prozessleittechnik" noch kurzfristig in diese Ausgabe aufgenommen. Grund hierfür waren zwei erst kürzlich bekannt gewordene Ereignisse, die in fast schon dramatisch zu nennender Art und Weise aufzeigen, welche Konsequenzen Sicherheitslücken in der Prozessleittechnik haben können und dass diese Schwachstellen eben nicht theoretischer Natur sind, sondern derzeit tatsächlich ausgenutzt werden. Als die Quelle allen Übels wird nicht selten die fehlende Beachtung von Sicherheitsstandards in der Software-Entwicklung angeprangert. Der Artikel "Standards und Verfahren für mehr Sicherheit im Software-Entwicklungsprozess" versucht einen Querschnitt über die Anstrengungen von staatlichen Behörden oder ihnen nahe stehenden Institutionen, Non-Profit-Organisationen oder Software-Herstellern und IT-Dienstleistern zu geben, nachhaltig Qualität und Sicherheit in den Prozess der Software-Entwicklung zu integrieren. "Endlich" ist man fast geneigt festzustellen. Sicherheitsvorkehrungen zur Abwehr von externen Angriffen bestimmen im Wesentlichen die Diskussionen und Investitionen der meisten Unternehmen. Gerade die Angst vor dem Internet und den von da ausgehenden Gefahren hat viele Sicherheitsverantwortliche veranlasst, sich intensiv um Schutzvorkehrungen für die Netzgrenze, den Perimeter, zu kümmern. Recht dürftig nehmen sich im Vergleich dazu aber die Maßnahmen gegen böswillige Insider aus, deshalb soll der Artikel "Insider Threats – ausreichend beachtet?" diese Problematik auch mal wieder in Erinnerung rufen. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #50 "Thu, 26 Aug 2010 06:30:00 CET" Die Vorsorge und sachgerechte Handlung bei Notfällen ist ein Thema, das seit einigen Jahren immer stärker in die Aufmerksamkeit der Unternehmen gerückt ist. Der Ausfall von Teilen oder gar der gesamten IT ist mittlerweile nicht nur denkbar, sondern durch viele nachgewiesene Fälle auch real nachvollziehbar geworden und hatte für die betroffenen Unternehmen teils gravierende Folgen. Da verwundert es nicht, dass das BSI sich dieser Thematik in seinen Grundschutzkatalogen mit dem Baustein B 1.3 "Notfallvorsorge-Konzept" schon länger angenommen hat. Dieser Baustein war aber durch eine zu eng auf die IT orientierte Sicht nicht mehr ausreichend zeitgemäß und wies darüber hinaus auch nicht die vom BSI angestrebte Kompatibilität mit den Forderungen der ISO 27001 (Kapitel "Business Continuity Management") auf. So wurde jetzt eine neue Fassung des Bausteins B 1.3 unter dem ebenfalls neuen Namen "Notfallmanagement" vorgelegt, die den Fokus der Notfallthematik als eigenständige Management-Disziplin deutlich über den reinen IT-Bezug hinaus erweitert. Der Artikel "Der neue BSI-Baustein "Notfallmanagement" zeigt die wichtigsten Neuerungen auf und bewertet sie in der möglichen Verwendung z.B. als Prüfgrundlage der Innen-Revision. In dem stärker technisch orientierten Beitrag "Return Oriented Programming vs. DEP" werden aktuelle Entwicklungen zur Problematik des Ausnutzens von gezielt herbei geführten Pufferüberläufen in Programmen behandelt. Hierdurch gelingt es Angreifern immer wieder Schadcode in vermeintlich sichere Anwendungen einzubringen und dort mit teilweise fatalen Folgen ausführen zu lassen. Es wird aufgezeigt, wie Soft- und Hardwarehersteller gemeinsam an diesem Problem arbeiten: Techniken wie "Data Execution Prevention (DEP)" oder das "Return Oriented Programming (ROP)" verdeutlichen allerdings wieder einmal, das auch der beste Schutzmechanismus unterlaufen werden kann, wenn es nicht gelingt, an die Wurzel des Übels zu gelangen. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #49 "Tue, 22 Jun 2010 08:00:00 CET" Im Rahmen seiner Aufgaben als überörtlicher Träger der Jugendhilfe übernimmt das Land Niedersachsen die Aufsichtspflicht über die Einrichtungen der Jugendhilfe. Um die Wahrnehmung dieser Aufsichtsfunktion zu erleichtern, müssen die Jugendhilfeeinrichtungen ihrer gesetzlichen Meldepflicht nachkommen und einmal jährlich differenzierte Angaben zu den Leistungsangeboten und belegten Plätzen für die betreuenden jungen Menschen abgeben. Diese statistische Erhebung wird zukünftig über die von der GAI NetConsult neu zu entwickelnde webbasierte Anwendung erfolgen. Dezentrale Erfassungsmöglichkeiten, den Prozessablauf unterstützende Workflowfunktionen und integrierte Plausibilitätsprüfungen werden die Erfassung zukünftig erleichtern und für eine hohe Datenqualität sorgen. http://www.gai-netconsult.de/de/news/index.html#nlsjf GAI NetConsult GmbH Redaktion Das Niedersächsisches Landesamt für Soziales, Jugend und Familie beauftragt die GAI NetConsult mit der Neuentwicklung einer webbasierten Datenbankanwendung zur Jugendhilfe-Statistik "Fri, 23 Apr 2010 14:01:00 CET" Eine für viele Unternehmen neu entstandene, oder vielleicht auch erst jetzt wahr genommene, Notwendigkeit, ist es, sich intensiv um das Thema Mailarchivierung zu kümmern. Werden E-Mails in einem Unternehmen auch genutzt, um z.B. Angebote zu versenden, so zwingen die gesetzlichen Vorgaben dazu, die entsprechende E-Mailkorrespondenz nach den "Grundsätzen ordnungsgemäßer Buchführung" zu archivieren. Diese Vorschriften regeln, welche Informationen mindestens zu archivieren sind. Zusätzlich sind auch die Vorschriften des Telekommunikationsgesetzes (TKG) sowie des Bundesdatenschutzgesetzes zu beachten, die beide Regelungen enthalten, die den Umfang dessen, was gespeichert werden darf, beschränken. Da Aufbewahrungszeiten von bis zu 10 Jahren in Betracht kommen und die Anforderungen an eine revisionssichere elektronische Archivierung recht hoch sind, werden einfache Lösungen wie das Kopieren auf CD/DVD ausscheiden. Der Artikel "Mailarchivierung in Unternehmen" zeigt die notwendigen Schritte zur Auswahl und Einführung eines Archivsystems auf und gibt zudem einen Überblick über relevante kommerzielle Lösungen. Unternehmen gehen mittlerweile auch vermehrt dazu über, Rechnungsdaten elektronisch auszutauschen. Entscheidend hierfür dürfte die Kostenersparnis gerade bei Großversendern von Rechnungen sein. Der automatisierte elektronische Rechnungsdatenaustausch hat gleichermaßen massive Auswirkungen auf die vorhandenen bzw. zusätzlich benötigten Hard- und Softwarekomponenten wie auch auf die betriebsinternen organisatorischen Prozesse. Hier gilt es, neben den geeigneten Konzepten und Maßnahmen auf der IT-Seite auch die in Prozessen beteiligten Sachbearbeiter und Fachverantwortlichen einzubeziehen. Ziel ist es, alle Projektverantwortlichen für Risiken zu sensibilisieren, die sich aus der Integration der Prozesse im Rechnungswesen und Zahlungsverkehr ergeben, bzw. notwendige Prozessänderungen zu skizzieren. Der Artikel "Sicherheitsanforderungen im automatischen elektronischen Rechnungsaustausch" beschreibt anhand eines Anwendungsszenarios, an welchen Stellen potenzielle Risiken lauern und wie diesen begegnet werden kann. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #48 "Tue, 20 Apr 2010 14:00:00 CET"