Die jeweils aktuellste Ausgabe wird ausschließlich an unsere Abonnenten per E-Mail versandt...

...sie sind noch kein Abonnent?
« Hier geht´s zur Anmeldung »

Sie sind Abonnent und haben Interesse an einer älteren Ausgabe des Security Journals? Kein Problem...

...schreiben Sie einfach an:
« journal@gai-netconsult.de »

Ausgabe

Artikel

Ausgabe 57
(Oktober 2011)

Vom Umgang mit tanzenden Schweinen (P. Laufer)
Es wird aufgezeigt, warum der Schlüssel für den Entwurf, die Auswahl und die Effizienz von organisatorischen Sicherheitsmaßnahmen in einer guten Kooperation zwischen Anwender und Unternehmen zu suchen ist.

Einführung einer Cloud-Lösung (M. Lukasczyk)
Der Artikel ist ein Auszug aus der Master-Thesis des Autors und behandelt insbesondere Fragen zu Sicherheitsrisiken bei der Einführung von Cloud-Lösungen.

Ausgabe 56
(August 2011)

Tanzende Affen und andere Schwachstellen in SIMATIC S7-Steuerungen (Dr. S. Beirer)
Eine Vielzahl von kürzlich identifizierten Schwachstellen in Siemens S7-Steuerungskomponenten macht klar, dass auch Automatisierungskomponenten aus der SPS-Familie anfällig sind. In dem Artikel werden die neuesten Entwicklungen hierzu aufgezeigt.

Sicherheitsbetrachtungen zur Virtualisierung bestehender IT-Umgebungen (Dr. T. Johr)
Unter welchen Umständen ist eigentlich der Einsatz von Virtualisierungslösungen auch aus Sicherheitssicht vertretbar? Dieser Artikel zeigt an einem fiktiven Beispiel die notwendigen Überlegungen, die bei einem Projekt im eigenen Hause vorzunehmen sind.

Ausgabe 55
(Juni 2011)

Sicherheit im Smart Metering (H. Diening)
Unter Führung des BSI wurde ein Schutzprofil nach den "common criteria" für Smart Meter (intelligente Stromzähler) entwickelt. Der Artikel beschreibt die wesentlichen Inhalte dieses Schutzprofils.

Rechtsfragen des Cloud-Computing (U. Emmert)
Die neue Technik des Cloud-Computing hat juristische Implikationen im Bereich des Vertragsrechts und insbesondere des internationalen Rechts, die dieser Artikel ausführlich behandelt.

Ausgabe 54
(April 2011)

Zunahme gezielter Angriffe - Anatomie des RSA-Hacks (D. Weidenhammer)
Wegen der starken Zunahme gezielter Angriffe wird beispielhaft für die dabei verwendete Vorgehensweise der Einbruch auf Server des bekannten Sicherheitsunternehmens RSA aufgezeigt.

3-D-Secure – Die "neue" Sicherheit im Internet? (Dr. K. Kamphenkel)
Der steigende Kartenmissbrauch hat Kreditkartenorganisationen dazu bewogen, ein neues Authentifizierungsverfahren zu etablieren. Der Artikel wirft einen kritischen Blick auf das Verfahren 3-D-Secure.

Datenschutz bei Einführung von Voice over IP (U. Emmert)
Viele Unternehmen beschäftigen sich mit der Einführung von Voice-over-IP Lösungen. Der Artikel beleuchtet insbesondere die zu beachtenden datenschutzrechtlichen Aspekte vor einer Migration zu VoIP.

Ausgabe 53
(Februar 2011)

Stuxnet – Lessons learned? (Dr. S. Beirer)
Der Stuxnet-Wurm hat gezeigt, dass gezielte Angriffe auch auf vermeintlich gut abgeschottete Produktionssysteme durchaus machbar sind. Der Artikel zeigt auf, welche langfristigen Folgen der Vorfall für die Sicherheit in modernen Leittechniksystemen haben kann.

Strukturierter Aufbau von Sicherheitsrichtlinien (D. Weidenhammer)
Es wird aufgezeigt, wie die hierarchische Gliederung von Sicherheitsrichtlinien für ein Unternehmen aussehen sollte, welche Inhalte unbedingt enthalten sein müssen und welche verzichtbar erscheinen.

Ausgabe 52
(Dezember 2010)

Mobile Forensics (S. Krause)
In Fortsetzung des Artikels aus #51 werden die sachgerechte Vorgehensweise und in Frage kommende Tools bei der forensischen Analyse von mobilen Endgeräten wie z.B. Smartphones vorgestellt.

Standards und Verfahren für mehr Sicherheit im Software-Entwicklungsprozess (W. Kettler)
In Fortsetzung des Artikels aus #50 wird die Darstellung von sog. Reifegradmodellen behandelt, deren Ziel ist es, die internen Aktivitäten für mehr Sicherheit bei der Softwareentwicklung zu bewerten und hieraus Maßnahmen zur Verbesserung abzuleiten.

Ausgabe 51
(Oktober 2010)

Live Analyse im Rahmen der Sicherheitsvorfallbehandlung (S. Krause)
Der Artikel behandelt die Vorgehensweise zur Beweissicherung nach dem Auftreten von Sicherheitsvorfällen. Er gibt Hinweise zur sinnvollen Vorbereitung und geht insbesondere auf die digitale Spurensuche direkt im Arbeitsspeicher eines Systems ein.

ITIL und Informationssicherheitssysteme nach ISO 27001 (Dr. K. Kamphenkel)
Der Artikel versucht eine Übersicht über die Anstrengungen von staatlichen Behörden, Non-Profit-Organisationen oder Software-Herstellern und IT-Dienstleistern zu geben, nachhaltig Qualität und Sicherheit in den Prozess der Software-Entwicklung zu integrieren.

Ausgabe 50
(August 2010)

Aktuelle Sicherheitsbedrohungen in der Prozessleittechnik (Dr. S. Beirer)
Es werden zwei aktuelle Ereignisse analysiert, die in fast schon dramatisch zu nennender Art und Weise aufzeigen, welche Konsequenzen Sicherheitslücken in der Prozessleittechnik haben können.

Standards und Verfahren für mehr Sicherheit im Software-Entwicklungsprozess (W. Kettler)
Der Artikel versucht eine Übersicht über die Anstrengungen von staatlichen Behörden, Non-Profit-Organisationen oder Software-Herstellern und IT-Dienstleistern zu geben, nachhaltig Qualität und Sicherheit in den Prozess der Software-Entwicklung zu integrieren.

Insider Threats – ausreichend beachtet? (D. Weidenhammer)
Recht dürftig nehmen sich immer noch die Maßnahmen gegen böswillige Insider aus. Der Artikel bewertet neueste Untersuchungen hierzu und beschäftigt sich mit Angreifern und auch Gegenmaßnahmen.

Ausgabe 49
(Juni 2010)

Der neue BSI-Baustein "Notfallmanagement" (H. Diening)
Der neue Baustein B 1.3 "Notfallmanagement" aus den Grundschutzkatalogen des BSI wird vorgestellt und bzgl. seiner möglichen Verwendung bewertet.

Return Oriented Programming vs. DEP (A. Schuster / T. Gimpel)
Es werden aktuelle Entwicklungen zur Problematik des Ausnutzens von gezielt herbei geführten Pufferüberläufen in Programmen behandelt und mögliche Gegenmaßnahmen aufgezeigt.

Ausgabe 48
(April 2010)

Mailarchivierung in Unternehmen (Dr. T. Johr)
Der Artikel zeigt die notwendigen Schritte zur Auswahl und Einführung eines Archivsystems für E-Mail auf und gibt zudem einen Überblick über hierfür relevante kommerzielle Lösungen.

Sicherheitsanforderungen im automatischen elektronischen Rechnungsaustausch (V. Scholz)
Der zunehmende elektronische Austausch von Rechnungsdaten hat große Auswirkungen auf die verwendete IT-Infrastruktur. Es wird anhand eines Anwendungsszenarios beschrieben, an welchen Stellen potenzielle Risiken lauern und wie diesen begegnet werden kann.

Ausgabe 47
(Februar 2010)

Neuer Standard für Hashfunktionen (K. Kamphenkel)
Der Artikel geht in einer kurzen Einführung zunächst auf die Bedeutung von Hashfunktionen ein. Anschließend wird ein Blick auf den laufenden Hashfunktionen-Wettbewerb der NIST geworfen.

Wie sicher sind Social Networks? (D. Weidenhammer)
Aus Sicherheitssicht interessiert besonders wie in Social Networks mit den Belangen von Privacy und Security umgegangen wird. Es wird dazu die bisherige Entwicklung solcher Networks aufgezeigt und unter Sicherheitsaspekten bewertet.

Ausgabe 46
(Dezember 2009)

Risiken bei "Cloud Computing" (H. Diening)
Es werden kurz die Charakteristiken des Ansatzes zum Cloud Computing skizziert und dabei selbstverständlich das Hauptaugenmerk auf mögliche Risiken für die Informationssicherheit gelegt.

OWASP Top-10 nun mit Risk Rating (D. Weidenhammer)
Die neueste Top-10 Liste der OWASP wurde um den wichtigen Aspekt der Risikobewertung ergänzt. Der Artikel beschreibt die Schwachstellen und bewertet diesen neuen Ansatz zur Risikoeinstufung.

Ausgabe 45
(Oktober 2009)

Sicherheit im elektronischen Geschäfts- und Behördenverkehr (Dr. T. Johr)
Die Übermittlung von vertraulichen Informationen über Netzwerkgrenzen hinweg kann auf unterschiedliche Arten gesichert werden. Der Artikel untersucht hierzu die Lösungen Virtuelle Poststelle, Internet E-Mail, ELSTER, DeMail und Internet-Brief der DPAG.

Adobe Flash und die Super Cookies (A. Schuster)
Um dem zustandslosen http-Protokoll Statusinformationen mitzugeben, werden z.B. Cookies genutzt. Mit den neu auftretenden Sicherheitsrisiken durch „Flash-Cookies“ beschäftigt sich dieser Artikel.

Juristische Fallstricke bei Scan-/Pentests? (D. Weidenhammer)
Unternehmen, die Scan-/Pentests anbieten, befanden sich schon immer in einer rechtlich schwierigen Situation. Auswirkungen und aktueller Stand zum sog. „Hackerparagraphen“ werden im Artikel näher untersucht.

Ausgabe 44
(August 2009)

Probleme im Zertifikatsmanagement der eGK (K. Kamphenkel)
Aktualität und Brisanz einer kürzlich gefundenen Sicherheitslücke rechtfertigen es, in dem Artikel einen kritischen Blick auf die komplexe Struktur der zu schaffenden Public-Key-Infrastruktur (PKI) zu werfen.

Sicherheit von Web-Applikationen (W. Kettler)
Komplexe Software ist auch immer fehleranfällig, aber muss das wirklich so sein? Der Artikel beleuchtet diese Problematik einmal aus der Sicht des Software-Entwicklers.

Ausgabe 43
(Juni 2009)

Die Bedeutung von E-Mail im Rechtsverkehr (Dr. J. Bücking)
Gegenstand des Artikels ist eine Vorstellung der rechtlich bedingten Notwendigkeiten, die in Bezug auf die Archivierung geschäftlicher E-Mails zu beachten sind.

Datendiebstahl – Studien und deren Erkenntnisse (D. Weidenhammer)
Es werden einige jüngst veröffentlichte Studien zu Datendiebstählen untersucht, wobei deren wesentliche Ergebnisse benannt werden, aber auch kritisch auf offensichtliche Qualitätsmängel eingegangen wird.

Ausgabe 42
(April 2009)

Die elektronische Gesundheitskarte (K. Kamphenkel)
Der Artikel beinhaltet eine genauere Betrachtung der Sicherheitsaspekte der Gesundheitskarte (eGK) und der von ihr untrennbaren IT-Infrastruktur.

Secure Mail Gateways – Praxis (Dr. T. Johr)
Basierend auf langjährigen Projekterfahrungen mit dem Einsatz von SMGWs werden die wichtigsten Planungsschritte beschrieben, die vor dem Beginn eines solchen Projektes zu beachten sind.

Ausgabe 41
(Februar 2009)

Vorgehen bei Security Awareness-Kampagnen (J.-M. Marohn)
Der Artikel geht auf die Vorbereitung und praktische Durchführung von Security Awareness-Kampagnen ein. Neben der Grobplanung werden die passenden Module für das jeweilige Unternehmen vorgestellt.

Wie unsicher ist Online-Banking? (D. Weidenhammer)
Dieser Folgeartikel zur letzten Ausgabe nimmt sich nun der direkten Angriffsmöglichkeiten auf Bankkunden an. Es werden die gängigsten Angriffsformen vorgestellt und absehbare Entwicklungen aufgezeigt.

Ausgabe 40
(Dezember 2008)

Security Awareness - the next Generation (J.-M. Marohn)
Es wird die Systematik einer Security-Awareness beleuchtet, die die Angestellten zu Sicherheits-Mit-Arbeitern machen möchte. Dies gilt allgemein als der beste Schutz gegen Sicherheitsbedrohungen.

Wer schraubt da an den Aktienkursen? (D. Weidenhammer)
Die „Manipulation von Aktienkursen“ wird bisher kaum öffentlich thematisiert, obwohl vielfältige Angriffsmöglichkeiten existieren. Diese werden hier vorgestellt, verbunden mit Empfehlungen zur Abwehr.

Ausgabe 39
(Oktober 2008)

Sicherheitsfragen zum Einsatz von Skype (H. Diening)
Der Artikel greift eine der aktuell "heißesten" Anwendungen heraus und gibt Antworten auf Fragen zur Erkennung einer verborgenen Nutzung oder die mit einem Einsatz verbundenen Sicherheitsrisiken.

E-Mail-Archivierung / Vorratsdatenspeicherung (U. Emmert)
Hier wird einigen rechtlichen Aspekten der Informationstechnologie erhöhte Aufmerksamkeit geschenkt. Insbesondere die Vorratsdatenspeicherung wird ab 2009 genauer zu beobachten sein.

Ausgabe 38
(August 2008)

EU-Dienstleistungsrichtlinie (W. Kettler)
Der Artikel beleuchtet die Umsetzungsplanung der neuen EU-Dienstleistungsrichtlinie und nimmt insbesondere die vorgesehenen Sicherheitsmaßnahmen kritisch unter die Lupe.

Reglementierung der Internet-Nutzung (D. Weidenhammer)
Sicherheitsvorkehrungen bei der Internet-Nutzung im Unternehmen tangieren immer auch rechtliche Aspekte. In dem Artikel werden die wichtigsten Sachverhalte erläutert und durch Empfehlungen ergänzt.

Ausgabe 37
(Juni 2008)

OpenSSL und aktuelle Browser (Ralf Stange)
OpenSSL lieferte unlängst eines der gravierendsten Beispiele zum Thema Schlüssel-Kompromittierung. Deswegen greifen wir die Auswirkungen in diesem Artikel auf und beleuchten einige der Hintergründe.

Verschlüsselte E-Mails an Jedermann (Dr. T. Johr)
Der Artikel zeigt auf, welche Möglichkeiten es zur Sicherung von E-Mails gibt und wie Adressaten ohne eigene Sicherheitslösung trotzdem in den sicheren Austausch von E-Mails einbezogen werden können.

Ausgabe 36
(April 2008)

Xen und VMware ESX (Dr. S. Beirer)
Es werden Sicherheitsaspekte der Rechnervirtualisierung am Beispiel der beiden führenden Technologien VMware ESX Server und Xen diskutiert.

Das Sicherheitsproblem Virenscanner (B. Fröbe)
Virenscanner sind in den letzten Jahren zunehmend selber das Ziel von erfolgreichen Angriffen geworden. Der Artikel zeigt die von Virenscannern selber verursachten Sicherheitsprobleme auf.

Ausgabe 35
(Februar 2008)

Online-Durchsuchung (D. Fox)
Der Artikel Die "Online-Durchsuchung" basiert auf einer Stellungnahme, die der Autor als sachkundige Auskunftsperson anlässlich der öffentlichen Anhörung des Bundesverfassungsgerichts erstellt hat.

PDF entmystifiziert (T. Gimpel)
Es wird dargestellt, warum PDF auch nicht sicherer als andere Dokumentenformate ist und der mitgelieferte Schutz des Dokumenteninhalts sich wohl eher gegen unbedarfte Angreifer richtet.

Ausgabe 34
(Dezember 2007)

SIM + SEM = SIEM? (D. Weidenhammer)
Um Sicherheitsinformationen (Logs, Events) sinnvoll auszuwerten kommen SIEM-Tools in Mode. Der Artikel zeigt die aktuelle Entwicklung und benennt Stärken und Schwächen der verfügbaren Produkte.

Toolunterstützung beim Betrieb eines ISMS (H. Diening)
Der Artikel zeigt die Aufgaben von unterstützenden Tools für einen ISMS-Betrieb auf, spricht typische Probleme bei deren Einführung an und geht dabei auch auf zwei marktrelevante Produkte ein.

Ausgabe 33
(Oktober 2007)

Metrikbasiertes Patchen mit CVSS - Konzept mit Methode (D-J. Röcher)
Im dem Artikel wird eine Methodik zur Bewertung von Schwachstellen erläutert, die über verschiedene Metriken alle relevanten Aspekte berücksichtigt und so zu einer Verbesserung des Patchmanagement-Prozesses beitragen kann.

Biometrie auf die Finger geschaut (H. Diening)
Nach einer kurzen Übersicht über Funktionsweise und mögliche An-griffspunkte auf Biometrischen Verfahren werden beispielhaft konkrete Schwächen diverser Produkte aufgezeigt.

Ausgabe 32
(August 2007)

SAN Security (Dr. S. Beirer)
Storage Area Networks (SAN) speichern oft auch sensible Daten, deshalb sind Sicherheitsaspekte genau zu beachten. Im Artikel werden Sicherheitsbedrohungen und Gegenmaßnahmen dargestellt.

Flash Security Roundup (B. Fröbe)
Der Artikel beleuchtet Bedrohungen durch die Nutzung des Flash Players – mit Hinweisen für Anwender, IT-Administratoren und Betreiber von Webservern – und gibt Empfehlungen, wie diesen zu begegnet ist.

Ausgabe 31
(Juni 2007)

Auswirkungen des neuen TMG (D. Weidenhammer)
Im März 2007 ist das neue Telemediengesetz (TMG). Über die wich-tigsten Inhalte und die zu erwartenden Folgen für die Internetnutzung gibt der Artikel „Auswirkungen des neuen TMG“ Auskunft.

Mandatory Integrity Control (Friedwart Kuhn)
Microsoft hat sich bei Vista verstärkt der Integritätssicherung des Betriebssystems angenommen. Der Artikel „Mandatory Integrity Control“ beleuchtet, wie MIC funktioniert und ob es ausreichend ist.

Ausgabe 30
(April 2007)

Bluetooth Security (T. Gimpel, B. Fröbe)
Der Artikel gibt einen Überblick zu Funktionsweise und Sicherheitsme-chanismen von Bluetooth und stellt die bisher bekannt gewordenen Sicherheitsprobleme und Angriffstechniken auf Implementierungen vor.

Sind Anti-Virus Lösungen am Ende? (D. Weidenhammer)
AV-Lösungen sind zunehmend überfordert durch neue Malware und professionellere Angreifer. Die bestehenden Probleme werden aufge-zeigt und es wird ein Ausblick auf zukünftige Entwicklungen gegeben.

Ausgabe 29
(Februar 2007)

Vista auf Vista Security (B. Fröbe)
Microsoft selber bezeichnet Vista als das sicherste Betriebssystem aller Zeiten. Hieran gemessen werden die wichtigsten der sicherheitsrelevanten eingeführten Neuerungen vorgestellt und bewertet.

Voice over IP und Datenschutz (U. Emmert)
Bei VoIP sind nicht nur Kostenaspekte, sondern auch zahlreiche rechtliche Vorgaben zu beachten. Der Artikel benennt die die in Frage kommenden gesetzlichen Regelungen und gibt Empfehlungen hierzu.

Ausgabe 28
(Dezember 2006)

Bedrohungen der IT-Sicherheit 2006/2007 (D. Weidenhammer)
Es werden in einer Rückschau die wesentlichen Entwicklungen des Jahres 2006 analysiert und mit den vor einem Jahr prognostizierten Trends (siehe Security Journal #22) verglichen.

Metasploit Framework v3.0 (S. Beirer)
Das Erscheinen der Version 3.0 des Metasploit Frameworks bietet den Anlass, die Funktionsweise dieser Entwicklungsumgebung für Exploit-code vorzustellen und seine Mächtigkeit zu demonstrieren.

Ausgabe 27
(Oktober 2006)

AJAX – neue Sicherheitsprobleme mit Web 2.0 (W. Kettler)
Es wird eine Übersicht zu Web 2.0 gegeben und die Entwicklung und Arbeitsweise von Ajax vorgestellt. Danach werden die hiermit zu erwartenden Sicherheitsprobleme untersucht.

XSS 2.0 – neue Gefahren durch Javascript (B. Fröbe)
Neuere Techniken werden vorgestellt, mit denen sich Javascript „kreativ“ so nutzen lässt, dass der Webbrowser als Eingangstor ins Unternehmensnetz missbraucht werden kann.

Ausgabe 26
(August 2006)

Business Continuity Planning (H. Diening)
Der Artikel gibt eine Einführung in die Thematik und beschreibt die wesentlichen Phasen für den IT-Bereich. Dabei geht er insbesondere auf die praktische Umsetzung und unterstützende Softwaretools ein.

Die TOP-100 Security Tools (D. Weidenhammer)
Es wird eine Auflistung von gebräuchlichen Tools zum Testen der IT-Sicherheit vorgestellt, die gerade in die Hände eines jeden Sicher-heitsverantwortlichen gehören sollten.

Ausgabe 25
(Juni 2006)

Evaluierung von Web Application Firewalls (WAF) (F. Breitschaft)
Unter besonderer Berücksichtigung der Evaluierungskriterien des "Web Application Security Consortiums" werden die wesentlichen Anforderungen an WAFs vorgestellt und eine Marktübersicht gegeben.

Zunehmende Bedrohung durch Bot-Netze (T. Runge)
Als Beispiel einer ständig wachsenden globalen Bedrohung durch Malware werden technischer Stand und Angriffspotential von Bot-Netzen vorgestellt.

Ausgabe 24
(April 2006)

Zunehmende Kriminalisierung des Internet (D. Weidenhammer)
Das Zusammenspiel von Hacker Know-how und krimineller Energie, verbunden mit ausreichenden finanziellen Ressourcen, schafft ganz neue Bedrohungen für Unternehmen.

Windows Rootkits (B. Fröbe)
Darstellung eines der beliebtesten Hacker-Werkzeuge, das dazu dient, die Spuren eines widerrechtlichen Eindringlings vor aufmerksamen Nutzern oder der eingesetzten Sicherheitssoftware zu verbergen.

Ausgabe 23
(Februar 2006)

Enterprise Firewalls im Vergleich (M. Scheler)
Dieser Vergleich versucht, an konkreten Beispielen die Unterschiede verschiedener Firewall-Architekturen und die derzeit zu erwartenden Funktionen aktueller Firewall-Systeme aufzuzeigen.

Schutz kritischer Infrastrukturen (F. Breitschaft)
Neben einem überblick über Aktivitäten und Rahmenbedingungen, die von staatlicher Seite an Unternehmen herangetragen werden, wird eine realistische Einschätzung der Kritis-Wirklichkeit gegeben.

Stellungnahme zur ISO 27001 Novellierung des BSI-GSHB (H. Diening)
Bewertung der Arbeiten des BSI zur Angleichung des GSHB an den internationalen Standard für Information Security Management Systeme (ISMS), die ISO/IEC 27001.

Ausgabe 22
(Dezember 2005)

Externe Bedrohungen der IT-Sicherheit - Trends 2006 (D. Weidenhammer)
Der Artikel greift die Entwicklungen des vergangenen Jahres bei den externen Bedrohungen auf und prognostiziert die sich abzeichnenden Trends des neuen Jahres.

Session-Management in Webanwendungen (B. Fröbe)
Eines der wichtigsten Sicherheitsthemen bei Webanwendungen ist das Session-Management. Dass bei den Entwicklern Sicherheitsüberlegungen nicht immer im Vordergrund stehen zeigt der Artikel.

Ausgabe 21
(Oktober 2005)

Security Metrics (H. Diening)
Es wird aufzeigt, wie mit Metriken eine quantitative Bewertungsgrundlage für die Zielerreichung von Maßnahmen, Prozessen oder anderen Entitäten in der Informationssicherheit eingeführt werden kann.

Rechtskonformer Umgang mit Content-Filterung (U. Emmert)
Content-Security Lösungen werden verstärkt zur Überwachung und Filterung von datenimportierenden Diensten eingesetzt. Dabei sind aber enge rechtliche Grenzen zu beachten, die hier behandelt werden.

Ausgabe 20
(August 2005)

Grundlagen des Identity Managements (D. Fischer)
Die effiziente und sichere Verwaltung digitaler Identitäten wird zunehmend wichtiger. Hierzu werden Aufbau, Problembereiche und Nutzen von in Frage kommenden Werkzeugen analysiert.

IT Security Management Framework - Teil 1 (D. Weidenhammer)
Die notwendige Organisation und Integration aller Sicherheitskomponenten erfordert ein tragfähiges Betriebsmodell. Hierzu wird ein Framework vorgestellt und zunächst die Bedeutung von ITIL untersucht.

Ausgabe 19
(Juni 2005)

Angriffsmöglichkeiten gegen die Netzwerk-Infrastruktur (E. Rey, P. Fiers)
Es werden neben einigen bekannten Layer-2 Sicherheitsproblemen auch neue Angriffsmethoden beschrieben, die gerade in Cisco-basierten lokalen Netzen unbedingt beachtet werden sollten.

Erfahrungsbericht: Security-Audits von Internetzugängen (M. Scheler)
Der Erfahrungsbericht beruht auf einigen von uns durchgeführten Zweitprüfungen von Internet-Schutzzonen und zeigt die häufigsten Mängel bei vorausgegangenen einfachen Security-Scans auf.

Ausgabe 18
(April 2005)

Bewertung von Sicherheitsmaßnahmen (H. Diening)
Anhand der einzelnen Schritte einer Risikobehandlung werden verschiedene Methoden zur Bewertung von Sicherheitsmaßnahmen erläutert. (Fortsetzung von "Einführung eines ISMS" aus Ausgabe #16)

Zentrale Lösungen zur e-Mail Security (Dr. T. Johr)
Es werden zentrale Signier- und Verschlüsselungslösungen zur e-Mail Security vorgestellt und ihre Vor- und Nachteile im Betrieb erläutert. Eine Produktübersicht benennt die wichtigsten Anbieter.

Sonderdruck aus Ausgabe 18
(Juni 2005)

Zentrale Lösungen zur e-Mail Security (Dr. T. Johr)

Ausgabe 17
(Februar 2005)

Sicherheitstests von Web-applikationen für Jedermann (B. Fröbe)
Es werden einfach durchzuführende Tests aufgezeigt, mit denen jeder selber erste Erkenntnisse über die Sicherheit seiner Webapplikationen gewinnen kann.

Umlautdomänen - Spoofing by Design? (Dr. T. Johr)
Mit der Einführung von internationalen Domänennamen können unter Nutzung von exotischen Zeichensätzen in der URL Phishing-Angriffe initiiert werden. Technik und Gegenmaßnahmen werden beschrieben.

Sind Blackberrys sicher? (F. Breitschaft)
Die Nutzung von BlackBerry ermöglicht einen einfachen mobilen Zugriff auf E-Mails und erfreut sich deshalb zunehmender Beliebtheit. Die damit verbundenen Sicherheitsprobleme werden analysiert.

Sonderdruck aus Ausgabe 17
(Februar 2005)

Sind Blackberrys sicher? (F. Breitschaft)

Die Nutzung von BlackBerry ermöglicht einen einfachen mobilen Zugriff auf E-Mails und erfreut sich deshalb zunehmender Beliebtheit. Die damit verbundenen Sicherheitsprobleme werden analysiert.

Ausgabe 16
(Dezember 2004)

Einführung eines ISMS (H. Diening)
Eine Übersicht zu BS 7799 wird verbunden mit Hinweisen für den Aufbau eines ISMS. Dabei wird auch auf die Möglichkeit der Einbeziehung des BSI-Grundschutzhandbuches eingegangen.

Endpoint Security (F. Breitschaft)
Dezentrale Sicherheitstechniken auf jedem einzelnen Endsystem sind mittlerweile verfügbar und auch administrierbar. Hierzu werden der aktuelle Stand dargestellt und mögliche Lösungen bewertet.

Ausgabe 15
(Oktober 2004)

Sicherer Einsatz ausgehender SSH-Verbindungen (Dr. T. Johr)
Die Nutzung von SSH auch für ausgehende Verbindungen in das Internet hat massive Sicherheitsauswirkungen auf das eigene Netz. Diese werden beschrieben und Gegenmaßnahmen aufgezeigt.

IPS vs ASG - Schutz von Webanwendungen (R. Stange)
Intrusion Prevention Systeme und Web Application Security Gateways verfolgen ähnliche Schutzziele, ohne direkt zu konkurrieren. Dies wird am Beispiel des Schutzes von Webanwendungen aufgezeigt.

Ausgabe 14
(August 2004)

Grundlagen der forensischen Analyse von IT-Vorfällen (B. Fröbe)
Das Vorgehen bei der Forensik zu IT-Vorfällen wird von der Erkennung über die Beweissicherung bis hin zur Analyse erläutert. Die dabei genutzten Tools und Techniken werden kurz dargestellt.

SIM - Security Information Management (D. Weidenhammer)
Der Stand der Technik zur Verarbeitung von Sicherheitsinformationen wird aufgezeigt und es werden Hinweise zur Produktbewertung und zur Einführung dieser neuen Technik gegeben.

Ausgabe 13
(Juni 2004)

Datenbank-Sicherheit (W. Kettler)
Benennung der häufigsten Sicherheitsprobleme beim Einsatz von Datenbanken und Empfehlung von Maßnahmen zum Schutz vor externen und internen Angreifern.

Smarte (Un)Sicherheit (B. Fröbe)
überblick zu den bei Smartphones eingesetzten Technologien mit kurzer Risikobetrachtung und einigen Sicherheitshinweisen.

Ausgabe 12
(April 2004)

Multifunktionale Content-Security-Gateways (D. Weidenhammer)
Bewertung von Security-Gateways, die zur Erweiterung der zentralen Schutzfunktionen als integrierte Lösungen für Content-Scanner und -Filter, Anti-Spam, SSL-Proxy angeboten werden.

Brandbekämpfung im Netz (U. Emmert)
Am Beispiel Firewall/Schutzzone wird beschrieben, welche Maßnahmen ein Unternehmen zu treffen hat, um bei Sicherheitsverletzungen nicht mit Haftungsansprüchen konfrontiert zu werden.

Ausgabe 11
(Februar 2004)

Grundlagen eines effizienten Patchmanagements (B. Fröbe)
überblick zur Notwendigkeit eines aktiv betriebenen Patchmanagements und Empfehlungen zu seiner Umsetzung im Tagesbetrieb.

SSL in Theorie und Wirklichkeit (Dr. T. Johr)
Erläuterung der grundlegenden Konzepte von SSL und Diskussion der Sicherheitsprobleme in Implementierung, Administration und Nutzung. Vorstellung einiger illustrierender Beispiele.

Ausgabe 10
Dezember 2003)

Web-Services und Security (Dr. G. Brose)
Beschreibung der Grundlagen von Web-Services und Vorstellung der relevanten Standards im Sicherheitsbereich. Diskussion konkreter Sicherheitstechnologien unter Architekturgesichtspunkten.

Wie viel darf IT Sicherheit kosten? (D. Weidenhammer)
Darstellung und Bewertung von qualitativen und quantitativen Argumentationshilfen bei Investitionsverhandlungen zur IT-Sicherheit. Tools zur Berechnung von RoSI (Return-of-Security-Investment)

Ausgabe 9
(Oktober 2003)

SSL-Proxy: Gateway-Security trotz Verschlüsselung (R. Stange)
SSL-Proxies dienen der Unterbrechung verschlüsselter Verbindungen, um auch diese einer zentralen Kontrolle auf Malware und einer zentralen Zertifikatsverwaltung unterziehen zu können.

Zentrales Mail-Gateway als virtuelle Poststelle (D. Weidenhammer)
Einfache Möglichkeit für Unternehmen eine gesicherte Email-Kommunikation mit zentral administrierter Verschlüsselung und Signierung aufzubauen.

Ausgabe 8
(August 2003)

SPAM-Abwehr: Was ist rechtlich und technisch machbar? (F. Breitschaft)
Neben rechtlichen Grundlagen der SPAM-Abwehr werden technische Möglichkeiten einiger konkreter Produkte beschrieben und bewertet.

Instant Messaging - die neue Bedrohung? (D. Weidenhammer)
Die Risiken bei der Nutzung von Instant Messaging (IM) sind weitgehend unbekannt. Dieser Artikel schafft Abhilfe und beschreibt die notwendigen Schutzmaßnahmen.

Ausgabe 7
(Juni 2003)

Rechtliche Maßnahmen zur Hackerabwehr (U. Emmert)
Aktuelle Rechtsgrundlagen zur Überwachung und Verfolgung von Hacker-Angriffen auf ein Unternehmen. Erlaubte Möglichkeiten zur Notwehr und Selbsthilfe.

Verschlüsselte Dateiablage (F. Breitschaft)
Bei hohem Schutzbedarf von Daten müssen auch im Intranet Verschlüsselungstechniken eingesetzt werden. Erfahrungsbericht zu einem Projekt.

Transparente Software - .NET ein Risiko? (S. Nowozin)
Sprachen wie Java und die .NET Familie schaffen durch ihre Portabilität in Punkto Sicherheit neue Probleme. Für .NET werden hierzu Schwachstellen und Auswege aufgezeigt.

Ausgabe 6
(April 2003)

Design sicherer Unix-Administrationsumgebungen (Dr. T. Johr)
Projektergebnisse zum Aufbau einer sicheren Unix-Administration mit dem Einsatz von SSH und sudo für sichere Ende-zu-Ende- Verbindungen.

Sichere Webapplikationen (B. Fröbe)
Beschreibt die Grundlagen von Webapplikationen und benennt die am häufigsten auftretenden Sicherheitsprobleme mit Hinweisen zu deren Vermeidung.

Ausgabe 5
(Februar 2003)

Sicherung von Laptops (D. Weidenhammer)
überblick zur Verbesserung der Sicherung von mobilen Systemen. Es werden sowohl physische als auch systemtechnische Schutzmaßnahmen angesprochen.

Sicherheit im LAN (S. Nowozin)
Typische LAN-Schwachstellen aus der Sicht eines Angreifers. (ARP-Spoofing, DoS, Sniffen in geswitchten Netzen, IP-Spoofing, Man-in-the-Middle und DHCP-Angriffe)

Ausgabe 4
(Dezember 2002)

Sicherheit von zSeries Systemen unter z/OS und Linux (F. Breitschaft)
Ist im UNIX Bereich der Host vor Buffer Overflows und Format String Attacken sicher? Ist "Host-Security" ein Mythos oder Realität? Ein Praxistest der GAI NetConsult mit überraschenden Ergebnissen.

Sicherheitsrisiko Internet Explorer? (B. Fröbe)
Vorstellung aktueller Sicherheitslücken und Empfehlungen zur sicheren Konfiguration des Internet Explorers.

Ausgabe 3
(Oktober 2002)

Personal Firewalls im Unternehmenseinsatz (M. Scheler / F. Breitschaft)
Ergebnisse einer Produktevaluierung der GAI NetConsult mit gewichteter Bewertung von Firewall-Engine und Möglichkeiten zum zentralen Management.

Rechtliche Aspekte des Betriebs von WWW-Servern (R. W. Gerling)
Empfehlungen zur Beachtung neuer rechtlicher Rahmenbedingungen für die Kennzeichnungspflicht bei Webangeboten. Beispiel eines "rechtlich sauberen Disclaimers" für die Impressumsseite.

Ausgabe 2
(August 2002)

Web-Services: Neue Chancen, aber auch neue Risiken! (W. Kettler)
Vorstellung von Entwicklung, Standardisierung und absehbaren Sicherheitsproblemen bei Web-Services.

Buffer Overflows: Eine Einführung (S. Nowozin)
Darstellung von Gefährdungspotential und technischen Grundlagen dieser verstärkt eingesetzten Angriffstechnik.

Ausgabe 1
(Juni 2002)

KonTraG: Pro-aktives Risk Management wird zur Pflicht (D. Weidenhammer)
Vorstellung der Anforderungen des KonTraG an den IT Risk Management Process. Ausführliche Diskussion der Phase: Risikoidentifikation.

Viren und Würmer - Ein Ausblick auf kommende Zeiten (S. Nowozin)
überblick zur Funktionsweise von Viren und Würmern und Prognose über die zu erwartenden Entwicklungen hin zu Hybridversionen.