http://www.gai-netconsult.de Neuigkeiten "de-de" Christian Friedsam "Thu, 26 Aug 2010 6:58:00" http://www.gai-netconsult.de/images/favicon.ico http://www.gai-netconsult.de Das Security Journal existiert zwar noch keine 50 Jahre, aber immerhin ist dies nun schon die 50. Ausgabe. Seit dem Juni 2002 haben insgesamt 25 Autoren weit über 100 Fachbeiträge verfasst, ihnen allen gilt unser herzlicher Dank. Ebenso den vielen Abonnenten, deren Anregungen uns jederzeit willkommen waren und sein werden. Diese 50 Ausgaben spiegeln auch ein gehöriges Stück Entwicklung der Security-Szene wieder. Es fällt aber auf, dass viele der schon damals behandelten Themen uns auch heute noch beschäftigen: Beiträge wie "Sicherheitsrisiko Internet Explorer (2002)" oder "Sichere Webapplikationen (2003)" könnten durchaus auch aus dem Jahre 2010 stammen. Nehmen wir also die nächsten 50 Ausgaben in Angriff, halten Sie uns die Treue und empfehlen Sie das Security Journal weiter. Aus aktuellem Anlass haben wir den Beitrag "Wurmangriffe und Hintertüren: Aktuelle Sicherheitsbedrohungen in der Prozessleittechnik" noch kurzfristig in diese Ausgabe aufgenommen. Grund hierfür waren zwei erst kürzlich bekannt gewordene Ereignisse, die in fast schon dramatisch zu nennender Art und Weise aufzeigen, welche Konsequenzen Sicherheitslücken in der Prozessleittechnik haben können und dass diese Schwachstellen eben nicht theoretischer Natur sind, sondern derzeit tatsächlich ausgenutzt werden. Als die Quelle allen Übels wird nicht selten die fehlende Beachtung von Sicherheitsstandards in der Software-Entwicklung angeprangert. Der Artikel "Standards und Verfahren für mehr Sicherheit im Software-Entwicklungsprozess" versucht einen Querschnitt über die Anstrengungen von staatlichen Behörden oder ihnen nahe stehenden Institutionen, Non-Profit-Organisationen oder Software-Herstellern und IT-Dienstleistern zu geben, nachhaltig Qualität und Sicherheit in den Prozess der Software-Entwicklung zu integrieren. "Endlich" ist man fast geneigt festzustellen. Sicherheitsvorkehrungen zur Abwehr von externen Angriffen bestimmen im Wesentlichen die Diskussionen und Investitionen der meisten Unternehmen. Gerade die Angst vor dem Internet und den von da ausgehenden Gefahren hat viele Sicherheitsverantwortliche veranlasst, sich intensiv um Schutzvorkehrungen für die Netzgrenze, den Perimeter, zu kümmern. Recht dürftig nehmen sich im Vergleich dazu aber die Maßnahmen gegen böswillige Insider aus, deshalb soll der Artikel "Insider Threats – ausreichend beachtet?" diese Problematik auch mal wieder in Erinnerung rufen. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #50 "Thu, 26 Aug 2010 06:30:00 CET" Die Vorsorge und sachgerechte Handlung bei Notfällen ist ein Thema, das seit einigen Jahren immer stärker in die Aufmerksamkeit der Unternehmen gerückt ist. Der Ausfall von Teilen oder gar der gesamten IT ist mittlerweile nicht nur denkbar, sondern durch viele nachgewiesene Fälle auch real nachvollziehbar geworden und hatte für die betroffenen Unternehmen teils gravierende Folgen. Da verwundert es nicht, dass das BSI sich dieser Thematik in seinen Grundschutzkatalogen mit dem Baustein B 1.3 "Notfallvorsorge-Konzept" schon länger angenommen hat. Dieser Baustein war aber durch eine zu eng auf die IT orientierte Sicht nicht mehr ausreichend zeitgemäß und wies darüber hinaus auch nicht die vom BSI angestrebte Kompatibilität mit den Forderungen der ISO 27001 (Kapitel "Business Continuity Management") auf. So wurde jetzt eine neue Fassung des Bausteins B 1.3 unter dem ebenfalls neuen Namen "Notfallmanagement" vorgelegt, die den Fokus der Notfallthematik als eigenständige Management-Disziplin deutlich über den reinen IT-Bezug hinaus erweitert. Der Artikel "Der neue BSI-Baustein "Notfallmanagement" zeigt die wichtigsten Neuerungen auf und bewertet sie in der möglichen Verwendung z.B. als Prüfgrundlage der Innen-Revision. In dem stärker technisch orientierten Beitrag "Return Oriented Programming vs. DEP" werden aktuelle Entwicklungen zur Problematik des Ausnutzens von gezielt herbei geführten Pufferüberläufen in Programmen behandelt. Hierdurch gelingt es Angreifern immer wieder Schadcode in vermeintlich sichere Anwendungen einzubringen und dort mit teilweise fatalen Folgen ausführen zu lassen. Es wird aufgezeigt, wie Soft- und Hardwarehersteller gemeinsam an diesem Problem arbeiten: Techniken wie "Data Execution Prevention (DEP)" oder das "Return Oriented Programming (ROP)" verdeutlichen allerdings wieder einmal, das auch der beste Schutzmechanismus unterlaufen werden kann, wenn es nicht gelingt, an die Wurzel des Übels zu gelangen. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #49 "Tue, 22 Jun 2010 08:00:00 CET" Im Rahmen seiner Aufgaben als überörtlicher Träger der Jugendhilfe übernimmt das Land Niedersachsen die Aufsichtspflicht über die Einrichtungen der Jugendhilfe. Um die Wahrnehmung dieser Aufsichtsfunktion zu erleichtern, müssen die Jugendhilfeeinrichtungen ihrer gesetzlichen Meldepflicht nachkommen und einmal jährlich differenzierte Angaben zu den Leistungsangeboten und belegten Plätzen für die betreuenden jungen Menschen abgeben. Diese statistische Erhebung wird zukünftig über die von der GAI NetConsult neu zu entwickelnde webbasierte Anwendung erfolgen. Dezentrale Erfassungsmöglichkeiten, den Prozessablauf unterstützende Workflowfunktionen und integrierte Plausibilitätsprüfungen werden die Erfassung zukünftig erleichtern und für eine hohe Datenqualität sorgen. http://www.gai-netconsult.de/de/news/index.html#nlsjf GAI NetConsult GmbH Redaktion Das Niedersächsisches Landesamt für Soziales, Jugend und Familie beauftragt die GAI NetConsult mit der Neuentwicklung einer webbasierten Datenbankanwendung zur Jugendhilfe-Statistik "Fri, 23 Apr 2010 14:01:00 CET" Eine für viele Unternehmen neu entstandene, oder vielleicht auch erst jetzt wahr genommene, Notwendigkeit, ist es, sich intensiv um das Thema Mailarchivierung zu kümmern. Werden E-Mails in einem Unternehmen auch genutzt, um z.B. Angebote zu versenden, so zwingen die gesetzlichen Vorgaben dazu, die entsprechende E-Mailkorrespondenz nach den "Grundsätzen ordnungsgemäßer Buchführung" zu archivieren. Diese Vorschriften regeln, welche Informationen mindestens zu archivieren sind. Zusätzlich sind auch die Vorschriften des Telekommunikationsgesetzes (TKG) sowie des Bundesdatenschutzgesetzes zu beachten, die beide Regelungen enthalten, die den Umfang dessen, was gespeichert werden darf, beschränken. Da Aufbewahrungszeiten von bis zu 10 Jahren in Betracht kommen und die Anforderungen an eine revisionssichere elektronische Archivierung recht hoch sind, werden einfache Lösungen wie das Kopieren auf CD/DVD ausscheiden. Der Artikel "Mailarchivierung in Unternehmen" zeigt die notwendigen Schritte zur Auswahl und Einführung eines Archivsystems auf und gibt zudem einen Überblick über relevante kommerzielle Lösungen. Unternehmen gehen mittlerweile auch vermehrt dazu über, Rechnungsdaten elektronisch auszutauschen. Entscheidend hierfür dürfte die Kostenersparnis gerade bei Großversendern von Rechnungen sein. Der automatisierte elektronische Rechnungsdatenaustausch hat gleichermaßen massive Auswirkungen auf die vorhandenen bzw. zusätzlich benötigten Hard- und Softwarekomponenten wie auch auf die betriebsinternen organisatorischen Prozesse. Hier gilt es, neben den geeigneten Konzepten und Maßnahmen auf der IT-Seite auch die in Prozessen beteiligten Sachbearbeiter und Fachverantwortlichen einzubeziehen. Ziel ist es, alle Projektverantwortlichen für Risiken zu sensibilisieren, die sich aus der Integration der Prozesse im Rechnungswesen und Zahlungsverkehr ergeben, bzw. notwendige Prozessänderungen zu skizzieren. Der Artikel "Sicherheitsanforderungen im automatischen elektronischen Rechnungsaustausch" beschreibt anhand eines Anwendungsszenarios, an welchen Stellen potenzielle Risiken lauern und wie diesen begegnet werden kann. http://www.gai-netconsult.de/de/security/secjournal/index.html#Aktuell GAI NetConsult GmbH Redaktion Security Journal #48 "Tue, 20 Apr 2010 14:00:00 CET"