Sichere eBusiness-Lösungen ...
... komplett aus einer Hand
Druckversion

Das Security Journal ist ein kostenloser Service der GAI NetConsult GmbH und erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit.

Mit unseren Erfahrungen aus vielen Security-Projekten wollen wir den Lesern helfen, "typische" Fehler zu vermeiden und durch erweitertes Know-how auch neue Themen effizienter angehen zu können. Jede Ausgabe enthält mindestens zwei Fachartikel zu Themen aus Technik und Management. In einer "TOP 10 der Sicherheitsrisiken" stellen wir die unserer Ansicht nach wichtigsten Bedrohungen der letzten zwei Monate zusammen. Auf diese sollte man unbedingt durch die empfohlenen Gegenmaßnahmen reagieren. Im fortlaufenden "News Ticker" finden sich interessante Nachrichten zum Thema Security.


Aktuell: Ausgabe 91 (Juni 2017)

"Proaktives statt reaktives Handeln" ist ein Vorgehen, das gesetzlich und in der Normenwelt immer klarer spezifiziert ist. Neue Anforderungen gilt es so früh wie möglich systematisch zu bewerten und im Unternehmen zu implementieren. Angesichts der Komplexität keine leichte, jedoch mit einem etablierten Managementsystem eine durchaus lösbare Aufgabe. Solch ein auf die Ansprüche eines Unternehmens ausgerichtetes Managementsystem inkl. Risikomanagement unterstützt Prävention von Anfang an. Der Artikel "Prävention statt Reaktion: Nachhaltiger Nutzen für Managementsysteme mit Compliance und Digitalisierung" zeigt hierzu einige wichtige Aspekte auf.

Im April wurde durch den Deutschen Bundestag das Gesetz zur Umsetzung der EU-Richtlinie 2016/1148 "Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union" - kurz: NIS-RL beschlossen. Die Vorgaben sind bis Mai 2018 in nationales Recht umzusetzen, wobei die Umsetzung in deutsches Recht aufgrund der Analogie zum IT-Sicherheitsgesetz leicht fällt. Im Zuge dessen wurden Anpassungen bzw. Erweiterungen u.a. am BSI-Gesetz (BSIG) und am Energiewirtschaftsgesetz (EnWG) vorgenommen. Der Artikel "Umsetzung der europäischen NIS-Richtlinie - Auswirkungen auf Betreiber Kritischer Infrastrukturen" stellt die wichtigsten Änderungen dar und kommentiert sie.

Im Artikel "Die Reise durchs Firmennetz" (Security Journal #90) wurde die Übernahme einer Windows Netzwerkumgebung mit einem infizierten Rechner als Ausgangspunkt beschrieben. Im Folgeartikel "Verbotene Früchte" soll nun das damals enthaltene Teilgebiet Rechteausweitung (Privilege Escalation) vertieft werden. Waren Angriffe unter Windows XP (und älter)  aufgrund der häufigen Arbeiten mit Administratorrechten vergleichsweise einfach zu realisieren, so stellen aktuelle Windows-Betriebssysteme deutlich höhere aber nicht unüberwindliche Hürden auf.


Artikelübersicht

AusgabeArtikel
Ausgabe 90
(April 2017)
Reise durchs Firmennetz – Kompromittierung von Windows-Netzwerken
(T. Mayer)
Schon das Finden und Ausnutzen einer einzigen Schwachstelle kann es einem Angreifer ermöglichen, auch in ein ansonsten gut gesichertes  Netz einzudringen. Der Artikel behandelt ein mögliches Fallbeispiel mit der Übernahme eines Windows Nutzerkontos (ohne Administrationsrechte) in einer Active Directory Umgebung.
Neues zur EU-Datenschutzverordnung
(U. Emmert)
Die EU-Kommission hat bereits 2010 begonnen, eine neue Verordnung zum Datenschutz zu entwerfen, die direkt in allen Mitgliedsstaaten der Union gilt. Das deutsche Anpassungsgesetz wurde nun endlich auch vom Bundestag beschlossen. Der Artikel zeigt die Neuregelungen im Anpassungs- und Umsetzungsgesetz auf und bewertet diese.
Ausgabe 89
(Februar 2017)
Sichere Anbindung von Außenstationen - Möglichkeiten und Fallstricke
(J. Bär)
Betreiber von Energieversorgungsnetzen müssen die Anbindung zwischen  den Anlagen im Netz und der zentralen Netzleittechnik sicher gestalten. Dabei muss oft auf öffentliche Übertragungswege wie das Internet zurückgegriffen werden, meist gesichert durch Einsatz von VPN-Lösungen. Mit möglichen Schwachstellen hierbei  befasst sich dieser Artikel.
Dem Mirai-Entwickler auf der Spur
(D. Weidenhammer)
Das gefährliche Botnet Mirai wurde Ende 2016 zum ersten Male wahrgenommen, als die Website eines Sicherheitsspezialisten angegriffen  wurde. Dieser versuchte anschließend, den dafür Verantwortlichen auf die Spur zu kommen. Sein Vorgehen hierbei ist hoch interessant und liefert eine schöne Crime Story, die dieser Artikel aufgreift.
Ausgabe 88
(Dezember 2016)
Gefährdet IoT das Internet?
(D. Weidenhammer)
Musste man sich bisher beim Internet-of-Things (IoT) vorrangig um die Betriebssicherheit kümmern, so kam es jetzt durch Übernahme und Nutzung von IoT-Geräten zu DDoS-Angriffen mit einem enormen Störungspotential. Der Artikel will dazu die bisherigen Erkenntnisse und möglichen Gegenmaßnahmen aufzeigen.
Sichere E-Mail im Zeitalter hoher Mobility
(Zertificon Solutions GmbH)
Eigenes Interesse und eine Vielzahl von Verordnungen fordern bei brisanten Daten mindestens: Verschlüsselung nach dem Stand der Technik. Der Artikel behandelt zur Verschlüsselung eingesetzte Techniken und geht auf zentrale Lösungen mit Secure E-Mail Gateways ein.
Ausgabe 87
(Oktober 2016)
Unscharfe Prozesskommunikation – Fuzz-Testing IEC 60870-5-104
(M. Mahrla)
Der Artikel führt in neue Angriffsformen auf Netzwerkprotokolle der Prozesskommunikation ein und stellt ein Projekt vor, das beispielhaft Schwachstellen des Fernwirkprotokolls IEC 60870-5-104 mit einem neuen Fuzzing-Ansatz aufspüren soll.
Security Best Practices in Theorie und Praxis
(D. Weidenhammer)
Es werden die Ergebnisse einer Befragung von „Experten“ und „Nicht-Experten“ zu selber genutzten Sicherheitsmaßnahmen vorgestellt. Der Artikel wertet die Studie aus und versucht Antworten darauf zu finden, wie die Balance zwischen wichtigen Sicherheitsmaßnahmen und der notwendigen Nutzerakzeptanz besser herzustellen sein könnte.
Ausgabe 86
(August 2016)
Neues Signaturrecht seit 1.7.2016
(U. Emmert)
Der Artikel geht auf die wichtigsten Neuerungen wie internationale Vereinheitlichung und neue Möglichkeiten durch Fernsignierung und qualifizierte elektronische Siegel ein.
Messung der operativen Ef-fektivität eines (integrierten) Management Systems
(Dr. K. Tomov)
Die Einführung eines (integrierten) Management-Systems für die Steuerung und kontinuierliche Verbesserung von ITK-Unternehmen erfordert auch die betriebliche Effizienz der ange-wandten Maßnahmen messen zu können. Der Artikel schlägt einen in unseren Projekten erprobten Effektivitätsmessungsansatz vor.
Ausgabe 85
(Juni 2016)
Konkretisierungen zum IT-Sicherheitsgesetz und zum IT-Sicherheitskatalog
(R. Gundlach)
Die Vorgaben aus IT-Sicherheitsgesetz und IT-Sicherheitskatalog wurden zuletzt durch die sog. Kritisverordnung, ein Zertifizierungsschema für EVUs und weitergehende Informationen durch BSI und BNetzA ergänzt. Der Artikel stellt die zuletzt verabschiedeten gesetzlichen Neuerungen und Konkretisierungen aus Sicht der EVUs dar.
Revisionssichere Digitalisierung, neue GoBD und EIDAS-Verordnung
(U. Emmert)
In 2015 ist die neue GoBD in Kraft getreten, damit wurden die Anforderungen an die Revisionssicherheit verschärft. Zur langfristigen Sicherung von digitalen Unterlagen sind zudem neue Dienste vorgesehen, die mit kryptographischen Mitteln arbeiten. Der Artikel greift die wichtigsten Punkte hierzu auf.
Java Serialization
(J. Barg)
Serialisierung ist eine insbesondere bei Java verwendete Technik, mit der Objekte zum Datenaustausch in eine Byte-Sequenz umgewandelt werden. Werden diese Daten am Zielsystem jedoch nicht ausreichend geprüft, entstehen Angriffsmöglichkeiten. Der Artikel beschreibt Angriffstechniken und zeigt Gegenmaßnahmen auf.
Ausgabe 84
(April 2016)
S4x16 Miami – ein Kurzrückblick
(Dr. S. Beirer)
Die S4 ist eine der weltweit führenden, eher technisch orientierten Security-Konferenzen für die Leit- und Automatisierungstechnik. In dem Artikel gibt ein Teilnehmer einen kurzen Überblick über Ablauf und Inhalte der Veranstaltung in den USA.
OSCP/OSCE-Zertifizierung als Penetration Testerug
(J. Barg)
Für jeden Pentester erstrebenswert  sind die Zertifizierungen der Firma Offensive Security. Diese stellen die Teilnehmer während Laborphase und Examen vor äußerst realistische und anspruchsvolle Aufgabenstellungen. Diese Komplexität wird in dem Artikel an einigen Beispielen exemplarisch vorgestellt.
Ausgabe 83
(Februar 2016)
Auto-Mobiles Internet
(G. Domhan)
In Fortsetzung des Artikels aus Security Journal #81 zur zunehmenden (lokalen) Vernetzung im Fahrzeugbereich beschäftigt sich dieser Beitrag mit den immer weiter verschmelzenden Techniken von lokalen automobilen Netzwerken mit Standard-PC-Komponenten und den additiven Anschlussmöglichkeiten an das Internet.
Bug-Hunting beim HP Data Protector
(J. Barg)
Im Rahmen eines Kunden-Audits zum HP Data Protector konnten wir Erfahrungen sammeln, welche Tücken auch bereits lange eingeführte Software beherbergen kann und wie der Hersteller mit Meldungen hierzu umgeht. Der Artikel beschreibt exemplarisch das Sicherheitsproblem und den zeitlichen Ablauf der Herstellerreaktionen.
Ausgabe 82
(Dezember 2015)
Das "Tor" in die Tiefen des Internets
(D. Weidenhammer)
Der Artikel befasst sich mit den suspekten teils kriminellen Teilen des Internets. Ausgangspunkt für deren Entstehung war der Wunsch nach Anonymität im Internet, realisiert durch das Tor-Netzwerk. Wie sicher ist nun Tor, welche Schwachstellen gibt es und welche Wege führen in die Tiefen des Internets, darauf gibt dieser Artikel einige Antworten.
Storage for Cloud
(Dr. J. Bücking)
Die Übermittlung von Firmendaten in die Cloud bedarf stets einer rechtlichen Legitimation, insbesondere wenn es um die Übermittlung in unsichere „Drittstaaten“ geht. Der Artikel zeigt einen Weg auf, wie man nach dem Aus für „Safe Harbor“ dieser Problematik entgehen und ein angemessenes Schutzniveau gewährleisten kann.
Ausgabe 81
(Oktober 2015)
Sicherheit in automobilen Bus-Systemen
(G.Domhan)
Mit zunehmender Nutzung von IT-Komponenten in Automobilen hat auch diese Branche mit einhergehenden Sicherheitsproblemen zu tun. Der Artikel gibt eine Übersicht über die eingesetzten Technologien und deren Schwachpunkte und zeigt auf, welche Risiken die zunehmende Vernetzung im Fahrzeugbereich nach sich zieht.
Folgen des EuGH-Urteils zur Ungültigkeit des Safe-Harbor-Abkommens mit den USA
(Dr. J. Bücking)
Der Artikel untersucht zunächst die bisher gewohnte Praxis und behandelt dann die absehbaren Auswirkungen des Urteils. Dieses dürfte weitreichende Konsequenzen bei Cloud Service Providern, Internet-Unternehmen und auch bei sozialen Netzwerken wie Facebook haben.
Ausgabe 80
(August 2015)
IT-Sicherheitsgesetz und IT-Sicherheitskatalog für Energienetze
(R. Gundlach, F. Breitschaft)
Der Artikel stellt nach Vorliegen von IT-Sicherheitsgesetz und IT-Sicherheitskatalog die relevanten Inhalte der Vorschriften und insbesondere die Anforderungen für Energienetzbetreiber an die aufzubauenden Managementprozesse zur Informationssicherheit vor.

Sichere Integrationsinfrastruktur – Maßnahmen in einem konkreten Szenario
(Dr. S. Klinger)
Nachdem zuvor ein Überblick über Sicherheitsaspekte einer Integrationsinfrastruktur gegeben wurde, behandelt dieser Folgeartikel die verschiedenen Herausforderungen der Absicherung in einer komplexen Service Orientierten Architektur (SOA) anhand eines konkreten Szenarios und stellt geeignete Maßnahmen vor.


Sicherheit von Android TLS-Implementierungen

(J. Barg)
Das Trust-System von TLS-Zertifikaten enthält architekturbedingte Schwächen, die von Softwareentwicklern zu beachten sind. Der Artikel geht speziell auf die Implementierung von TLS-Anfragen in Java bzw. Android ein und erläutert, wie diese anhand von TLS-Pinning-Konzepten abgesichert werden können.

Ausgabe 79
(Juni 2015)
IT-SiG verabschiedet – was kommt auf uns zu?
(D. Weidenhammer)
Mit dem IT-Sicherheitsgesetz soll eine deutliche Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden. Der Artikel untersucht, wie dieses Gesetz einzuschätzen ist und welche Hürden bei der Umsetzung zu überwinden sein werden.
Sichere Integrationsinfrastruktur – der Einstieg
(A. Gilmer)
Viele Unternehmen setzen bereits heute bei der engen Vernetzung ihrer Systeme/Prozesse auf eine Integrationsplattform. In dem Artikel wird zunächst auf Grundlagen eingegangen, um die damit verbundenen Herausforderungen – insbesondere auch bei der Informationssicherheit - zu beschreiben.
Ausgabe 78
(April 2015)
Sicherheitsprüfungen bei Beschaffung und Betrieb von PDV-Systemen
(S. Krause)
Der Artikel zeigt auf, wie die Berücksichtigung von IT-Sicherheitsaspekten bereits bei der Konzeption und Beschaffung von PDV-Systemen zur Erhöhung des Sicherheitsniveaus beitragen kann und wie deren Einhaltung sinnvoll zu prüfen ist.

Sicheres Betreiben von Software-defined Networking (SDN)
(M. Sickert)
In Fortsetzung des Artikels aus dem Security Journal #77 wird der Aspekt der IT-Sicherheit beim Betrieb eines SDN genauer betrachtet. Es soll demS Leser nahe gebracht werden, mit welchen Sicherheitsproblemen er zu rechnen hat und wie diesen zu begegnen ist.

Neue Vorgaben der Finanzverwaltung für die IT-Compliance
(U. Emmert)
Der Artikel behandelt die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“, die kürzlich in Kraft getreten sind.

Ausgabe 77
(Februar 2015)
Prüfung von Netzwerkkomponenten mittels Fuzzing
(M. Rahnefeld)
Eine interessanteste Methode zur Schwachstellensuche stellt das Fuzzing dar, bei dem mit mehr oder minder zufällig erzeugten Daten die Robustheit von Systemen getestet wird. Hierauf wird in dem Artikel unter besonderer Berücksichtigung des Tools Scapy“ eingegangen.
Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)
(M. Sickert)
Software-defined Networking scheint die vielversprechendsten Lösungen für mehr Flexibilität und Agilität im Netzverkehr bereitzustellen. Ob es sich hierbei nur um den Hype einer neuen Netzarchitektur oder doch um eine zukunftsträchtige Lösung handelt, will der Artikel beleuchten.
Ausgabe 76
(Dezember 2014)
Sichere Systeme – Security beim Hardwaredesign
(G. Domhan)
Der Artikel befasst sich mit der Sicherheitsproblematik bei Hardwaresystemen zur Automatisierung und Steuerung von Prozessen. Vorgehensmodelle, aber auch Dinge, die bei der Entwicklung und Produktauswahl beachtet werden sollten, werden ausführlich behandelt.
Das Ende der Ära von SSLv3
(M. Mahrla)
SSL bildet seit den 90-er Jahren das Rückgrat einer sicheren Übertragung von Daten im Internet. Der Artikel stellt die wesentlichen Angriffe aus den letzten Jahren vor und fasst die daraus resultierenden Erkenntnisse für zukünftige Sicherungsprotokolle zusammen.

Ausgabe 75
(Oktober 2014)
eHealth – Der „Neue Markt“ für Cyber-Kriminelle?
(W. Kettler)
Anforderungen, die Versorgungsqualität zu steigern und gleichzeitig die Kosten zu senken, stellt gerade die IT im Gesundheitswesen vor immer neue Herausforderungen. Der Artikel analysiert den aktuellen Stand hierzu und geht auf geplante Verbesserungen durch eine sichere Telematik-Infrastruktur ein.
Gefährliche Dinge(r) im Internet-of-Things?
(D. Weidenhammer)
Intelligente „Dinge(r)“, die untereinander oder auch mit anderen kommunizieren können, schicken sich an, das „Internet-of-Things“ zu bilden. In dem Beitrag wird untersucht: Wie sicher werden die genutzten Komponenten konzipiert, entwickelt und betrieben? Können sie externen Angriffen standhalten?

Ausgabe 74
(August 2014)
ICS-Schadsoftware Havex
(M. Mahrla)
Der Artikel geht genauer auf die Hintergründe der Schadsoftware Havex ein, die gezielt industrielle Steuerungssysteme angreift und vielerorts zu großer Besorgnis geführt hat. Neben einer Analyse der Schadsoftware wird auch eine kritische Bewertung der öffentlichen Diskussion hierzu vorgenommen.
Neuer Entwurf des IT-Sicherheitsgesetzes veröffentlicht
(F. Breitschaft)
Unsere erste Durchsicht des Entwurfs ergab einige wesentliche Punkte und Neuerungen gegenüber dem Entwurf der alten Legisla-turperiode insbesondere für Betreiber Kritischer Infrastrukturen. Diese Änderungen werden in dem Artikel kurz zusammengefasst.
Out-Of-Band-Management mit eingebauten Sicherheitsproblemen
(R. Werner)
Der Artikel fasst die interessanten Ergebnisse des Sicherheitsforschers Dan Farmer zur Sicherheit von integrierten Managementlösungen zusammen und gibt Hinweise, wie eine sichere Umsetzung eines OOB-Managements aussehen könnte.
Ausgabe 73
(Juni 2014)
Infotag Systemintegration für Netzbetreiber
(Dr. N. Milanovic, A. Gilmer)
Der Artikel gibt einen Überblick zu den Fachvorträgen eines kürzlich von uns durchgeführten Infotages. Themen waren Sichere Integration kritischer Betriebsprozesse, Technologieunterstützung, Chancen und Risiken der Integration sowie praktische Erfahrungen aus bereits durchgeführten Integrationsprojekten.
Auswirkungen der Änderungen von ISO 27001:2005 zu ISO 27001:2013
(K. Tomov)
Es werden die Änderungen der jüngsten Überarbeitung der ISO/IEC 27001:2005 zur ISO/IEC 27001:2013 beschrieben und wichtige Hinweise zum Umgang damit gegeben.

Ausgabe 72
(April 2014)
Heartbleed-Rückblick
(T. Gimpel / J. Barg)
Mit dem „Heartbleed“-Angriff ließen sich von allen OpenSSL-nutzenden Diensten Daten entlocken, die auch sensible Informationen enthalten konnten. Wegen der hohen Brisanz haben wir in dem Artikel eine genaue Analyse und eigene Tests auf Verwund-barkeit zusammengestellt.
Der integrierte Managementsystemansatz
(K. Tomov)
Ein IMS beinhaltet die Verfahrensweisen, die Prozesse und die korporativen Steuerinstrumente zur Integration von unterschiedli-chen Managementsystemen. Der Artikel zeigt die Entwicklung der letzten Jahre auf und gibt Hinweise zum sinnvollen Aufbau eines IMS.
Das E-Government-Gesetz
(U. Emmert)
Der Artikel zeigt auf, was sich mit dem stufenweise in Kraft tre-tenden E-Government-Gesetz des Bundes und den in der Folge zu ändernden Verwaltungsverfahrensgesetzen der Länder bei der elektronischen Kommunikation mit Behörden ändern soll.
Ausgabe 71
(Februar 2014)
IPsec versus SSL-VPN
(M. Mahrla)
Zur Sicherung von VPN-Verbindungen haben sich im Laufe der Zeit zwei Verfahren etabliert: IPsec und SSL-VPN. Der Artikel beleuchtet diese Situation und hat das Ziel, typische Fallstricke und eine unsichere Konfiguration beim Einsatz eines VPNs zu vermeiden.
Sicherheitsbetrachtungen zu SaaS
(D. Weidenhammer)
Gewachsener Kostendruck bei den Unternehmen und die Verfüg-barkeit ausreichender Performance machen Cloud-Angebote ex-terner Dienstleister immer attraktiver. Der Artikel untersucht, ob die damit unweigerlich verbundenen Sicherheitsrisiken ausrei-chend beachtet werden.

Ausgabe 70
(Dezember 2013)
Sichere drahtlose Mesh-Netzwerke und mögliche Anwendungen
(A. Egners)
Drahtlose Übertragungstechniken schicken sich nun auch im LAN an, die alte Verkabelung ganz zu verdrängen. Der Artikel gibt eine Einführung in die Thematik der drahtlosen Mesh-Netzwerke, sowie deren Sicherheitsanforderungen und stellt eine umfassende Sicherheitsarchitektur aus der akademischen Forschung vor.
Informationssicherheit und Datenschutz im Gesundheitswesen – wer hat’s erfunden?
(W. Kettler)
Sensible medizinische Daten werden zunehmend über die zur Verfügung stehenden IT- und Kommunikationseinrichtungen an nachgelagerte Bearbeitungsinstanzen weitergeleitet. Der Artikel hat das Ziel, auf die damit verbundenen besonderen Herausforderungen einzugehen und Lösungsmöglichkeiten aufzuzeigen.

Ausgabe 69
(Oktober 2013)
Schwachstellen-Analyse mit OpenSSL
(M. Mahrla)
Nach einem Überblick über die Funktionsweise von SSL/TLS wird gezeigt, wie man mit dem Kommandozeilen-Interface von O-penSSL sowohl die eigene Konfiguration als auch die des Kommu-nikationspartners recht einfach auf Schwachstellen prüfen kann.
Einsatz von Softwarelösungen zum Aufbau und Betrieb eines ISMS
(P. Laufer / Dr. N. Milanovic)
Der Artikel zeigt auf, welche Anforderungen an ein unterstützen-des Tool zu stellen sind, das die Dokumentation und auch die Steuerung eines ISMS zu leisten in der Lage ist. Exemplarisch werden Aufbau und Funktionen eines von uns entwickelten Tools vorgestellt.

Ausgabe 68
(August 2013)
Analyse einer Android-Malware
(R. Werner)
Am Beispiel einer aktuellen Android-Malware wird gezeigt, wie eine Schadsoftware-Analyse aussehen könnte und welcher Aufwand dafür anzusetzen ist.
Sichere Prozessintegration in „Smart“-Infrastrukturen
(Dr. N. Milanovic)
In dem Artikel wird untersucht, welche Softwarearchitekturen und Technologien sowie am Markt verfügbare Middleware-Produkte eine sichere Kommunikation und Integration in künftigen „Smart“-Infrastrukturen unterstützen könnten.

Ausgabe 67
(Juni 2013)
Internet Census 2012 – Eine Sicherheitsanalyse
(D. Weidenhammer)
Kürzlich erschien der Bericht eines anonymen Autors, der sich mit der „Vermessung“ des Internets und der Suche nach Sicherheitslücken beschäftigte. Über Vorgehensweise und erzielte Ergebnisse wurde seitdem heiß diskutiert und deshalb in diesem Artikel auch aufgegriffen.
Gleichstellung des Beweisrechtes von elektronischem Dokument und Papier durch das E-Justiz-Gesetz
(U. Emmert)
Der Bundestag hat kürzlich das Gesetz über die Förderung des elektronischen Rechtsverkehrs mit den Gerichten verabschiedet, das wesentliche Bedeutung für den gesamten deutschen Rechtsverkehr haben dürfte. Der Artikel beschäftigt sich mit den Auswirkungen für Unternehmen und stellt den geplanten zeitlichen Ablauf dar.
Ausgabe 66
(April 2013)
Role-Based Access Control - Umsetzung innerhalb der IEC 62351-8
(R. Gundlach)
In Fortsetzung des Artikels aus #65 wird die Thematik „Role-Based Access Control - Umsetzung innerhalb der IEC 62351-8“ in der Stations- bzw. Prozessautomatisierung von Energieversorgungseinrichtungen weiter vertieft.
DDoS-Attacken werden immer gefährlicher
(D. Weidenhammer)
Durch  ausgeklügelte neue Angriffstechniken und hohes Bedrohungspotential gerade durch verteilte DDoS-Attacken ist diesem Thema mehr Aufmerksamkeit zu widmen, wozu dieser Artikel beitragen soll.
Ausgabe 65
(Februar 2013)
Sichere Softwareentwicklung und Scrum
(Dr. N. Milanovic)
In dem Artikel wird untersucht, inwiefern eine sichere Softwareentwicklung mit Scrum möglich ist. Dazu werden praxisnahe Probleme identifiziert und zusammen mit Empfehlungen für ihre Beseitigung dargestellt.
Konferenzrückschau S4x13
(Dr. S. Beirer)
Aus  Sicht  eines  Teilnehmers werden die interessantesten Eindrücke der weltweit führenden Leittechnik -Sicherheitskonferenz  S4x13 („SCADA Security Scientific Symposium“) geschildert.
AAA-Funktionen und RBAC in Prozesssteuerungssystemen
(R. Gundlach)
Zugriffe auf Komponenten der Prozessdatenverarabeitung (PDV) müssen aus Sicherheitsgründen authentifiziert und autorisiert werden. Der Artikel beschreibt, welche Funktionen innerhalb einer IT-Sicherheitsstrategie benötigt werden und berücksichtigt dabei auch die spezifischen Belange solcher Umgebungen.
Ausgabe 64
(Dezember 2012)
Datenschutzkonforme Archivierung in der Cloud
(U. Emmert)
Unter den Diensten, die man per Cloud anbieten kann, stellt die Verlagerung der revisionssicheren Archivierung von Geschäftsdokumenten eine neue Variante dar. Der Artikel beschäftigt sich mit den nicht uninteressanten rechtlichen Aspekten solcher Lösungen.
Passen die Passwörter noch?
(D. Weidenhammer)
Die Mehrfachverwendung von Passwörtern, gerade im Internet, stellt mittlerweile nicht nur im privaten Bereich eine große Gefahr dar. Der Artikel geht auf aktuelle Techniken zur Kompromittierung von Passwörtern ein und zeigt Gegenmaßnahmen auf.
Ausgabe 63
(Oktober 2012)
Möglichkeiten der Prüfung von Netzwerkkomponenten
(M. Rahnefeld)
Der Artikel gibt zunächst einen Überblick über unterschiedliches Prüfungsvorgehen und geht anschließend gezielt auf die Anwendung von unscharfen Testmethoden wie Fuzzing-Techniken ein.
Einsatz von ITIL im Umfeld der Prozessdatenverarbeitung
(A. Berndt)
Der Artikel zeigt auf, wie Fragestellungen zur Informationssicherheit auch in die Betriebskonzeption einfließen können und wie die Orientierung an einem De-facto-Standard wie ITIL dabei helfen kann.
Ausgabe 62
(August 2012)
Verfügbarkeitsanalyse von Service-orientierten Architekturen
(Dr. N. Milanovic)
Der Autor stellt eine Methode zur Evaluierung der Geschäftsprozess- und Serviceverfügbarkeit in einem SOA-System vor. Mithilfe dieser Methode kann die Verfügbarkeit komplexer Prozesse effizienter und präziser als bisher evaluiert werden.
Der Handel mit Schwachstellen – ein lukrativer Markt
(D. Weidenhammer)
In den letzten Jahren hat sich ein lebhafter Markt zum An- und Verkauf von Schwachstellen gebildet. Dies führt zu einer erhöhten  Gefährdungslage für Unternehmen und auch Privatpersonen, wie der Artikel aufzeigt.
Ausgabe 61
(Juni 2012)
Security Compliance Manager – Härtung mit System (P. Laufer)
Trotz noch so guter Perimetersicherung darf die Härtung schutzbedürftiger Systeme im internen Netz nicht vernachlässigt werden. Hierzu werden die Möglichkeiten, die der von Microsoft kostenlos zur Verfügung gestellte Security Compliance Manager liefert, vorgestellt.
Rechtliche Fallstricke bei “Bring Your Own Device” (U. Emmert)
Seit dem Siegeszug von Smartphones und Tablets ist BYOD in aller Munde. Der Artikel beleuchtet die damit verbundenen rechtlichen Schwierigkeiten, insbesondere unter Beachtung der Novelle des Telekommunikationsgesetzes und gibt Empfehlungen dazu.
Ausgabe 60
(April 2012)
Erstellung szenariobasierter Notfallkonzepte (H. Diening)
Der Artikel gibt eine Einführung in die wesentlichen Phasen des Business Continuity Managements und beschreibt Möglichkeiten der praktikablen und ressourcenschonenden Herangehensweise bei der Erstellung von modular erweiterbaren Notfallkonzepten.
Sicherheit in Datennetzen auf der OSI-Schicht 2 - Teil 2 (R. Gundlach)
Dieser zweite Teil nimmt Bezug auf die Sicherheit bei Layer-2-Protokollen, die für das Funktionieren einer komplexen geswitchten Struktur nötig (STP/RSTP) oder zumindest nützlich (VTP) sind.
Ausgabe 59
(Februar 2012)
Project Basecamp - ein drastischer Weckruf für die Leittechnik
(Dr. S. Beirer)
Aus Sicht eines Teilnehmers werden die wichtigsten Ergebnisse des SCADA Security Scientific Symposiums zusammen gefasst und auch die heftigen Kontroversen unter den Teilnehmern über das fragwürdige Sicherheitsniveau in der Leittechnik kommentiert.
Source Code Scanner - sinnvoll einsetzbar? (M. Rahnefeld)
Der Artikel widmet sich dem aktuellen Stand der automatisierten Überprüfung auf der Ebene des Quellcodes von Webanwendungen und bezieht sich hierzu auf unsere Erfahrungen aus einigen Produktevaluierungen und Projekteinsätzen.
Nessus Version 5 mit interessanten neuen Features (S. Krause)
Vorstellung der von Tenable kürzlich vorgelegten Version 5 des Schwachstellenscanners Nessus. Der Scanner prüft auf nunmehr fast 50.000 bekannte Schwachstellen – auch SCADA-Systeme.
Ausgabe 58
(Dezember 2011)
USB = Universal Security Backdoor (D. Weidenhammer)
Der Artikel beschäftigt sich mit der weiter ansteigenden Gefahr durch manipulierte USB-Geräte. Neben altbekannten Manipulationsmöglichkeiten werden auch neue Angriffe aufgezeigt, die ein hohes Missbrauchspotential erwarten lassen.
Sicherheit in Datennetzen auf der OSI-Schicht 2 (R. Gundlach)
Viele Angriffe zielen auch heute noch auf interne LAN-Strukturen mit den Komponenten Router, Hosts oder dem Netzwerk an sich. Der Artikel beschreibt einige der Risiken und zeigt mögliche Gegenmaßnahmen bezogen auf die Switching-Infrastruktur auf.
Robuste IT-Systeme in der industriellen IT (Dr. K. Kamphenkel)
Für die industrielle IT werden grundlegende Prinzipien und Betrachtungsweisen zur Gewährleistung eines weitgehend störungsfreien Betriebs, der „Cyber-Robustheit“, zusammenfassend skizziert.
Ausgabe 57
(Oktober 2011)
Vom Umgang mit tanzenden Schweinen (P. Laufer)
Es wird aufgezeigt, warum der Schlüssel für den Entwurf, die Auswahl und die Effizienz von organisatorischen Sicherheitsmaßnahmen in einer guten Kooperation zwischen Anwender und Unternehmen zu suchen ist.
Einführung einer Cloud-Lösung (M. Lukasczyk)
Der Artikel ist ein Auszug aus der Master-Thesis des Autors und behandelt insbesondere Fragen zu Sicherheitsrisiken bei der Einführung von Cloud-Lösungen.
Ausgabe 56
(August 2011)
Tanzende Affen und andere Schwachstellen in SIMATIC S7-Steuerung (Dr. S. Beirer)
Eine Vielzahl von kürzlich identifizierten Schwachstellen in Siemens S7-Steuerungskomponenten macht klar, dass auch Automatisierungskomponenten aus der SPS-Familie anfällig sind. In dem Artikel werden die neuesten Entwicklungen hierzu aufgezeigt.
Sicherheitsbetrachtungen zur Virtualisierung bestehender IT-Umgebungen (Dr. T. Johr)
Unter welchen Umständen ist eigentlich der Einsatz von Virtualisierungslösungen auch aus Sicherheitssicht vertretbar? Dieser Artikel zeigt an einem fiktiven Beispiel die notwendigen Überlegungen, die bei einem Projekt im eigenen Hause vorzunehmen sind.
Ausgabe 55
(Juni 2011)
Sicherheit im Smart Metering (H. Diening)
Unter Führung des BSI wurde ein Schutzprofil nach den "common criteria" für Smart Meter (intelligente Stromzähler) entwickelt. Der Artikel beschreibt die wesentlichen Inhalte dieses Schutzprofils.
Rechtsfragen des Cloud-Computing (U. Emmert)
Die neue Technik des Cloud-Computing hat juristische Implikationen im Bereich des Vertragsrechts und insbesondere des internationalen Rechts, die dieser Artikel ausführlich behandelt.
Ausgabe 54
(April 2011)
Zunahme gezielter Angriffe - Anatomie des RSA-Hacks
(D. Weidenhammer)
Wegen der starken Zunahme gezielter Angriffe wird beispielhaft für die dabei verwendete Vorgehensweise der Einbruch auf Server des bekannten Sicherheitsunternehmens RSA aufgezeigt.
3-D-Secure – Die "neue" Sicherheit im Internet? (Dr. K. Kamphenkel)
Der steigende Kartenmissbrauch hat Kreditkartenorganisationen dazu bewogen, ein neues Authentifizierungsverfahren zu etablieren. Der Artikel wirft einen kritischen Blick auf das Verfahren 3-D-Secure.
Datenschutz bei Einführung von Voice over IP (U. Emmert)
Viele Unternehmen beschäftigen sich mit der Einführung von Voice-over-IP Lösungen. Der Artikel beleuchtet insbesondere die zu beachtenden datenschutzrechtlichen Aspekte vor einer Migration zu VoIP.
Ausgabe 53
(Februar 2011)
Stuxnet – Lessons learned? (Dr. S. Beirer)
Der Stuxnet-Wurm hat gezeigt, dass gezielte Angriffe auch auf vermeintlich gut abgeschottete Produktionssysteme durchaus machbar sind. Der Artikel zeigt auf, welche langfristigen Folgen der Vorfall für die Sicherheit in modernen Leittechniksystemen haben kann.
Strukturierter Aufbau von Sicherheitsrichtlinien (D. Weidenhammer)
Es wird aufgezeigt, wie die hierarchische Gliederung von Sicherheitsrichtlinien für ein Unternehmen aussehen sollte, welche Inhalte unbedingt enthalten sein müssen und welche verzichtbar erscheinen.
Ausgabe 52
(Dezember 2010)
Mobile Forensics (S. Krause)
In Fortsetzung des Artikels aus #51 werden die sachgerechte Vorgehensweise und in Frage kommende Tools bei der forensischen Analyse von mobilen Endgeräten wie z.B. Smartphones vorgestellt.
Standards und Verfahren für mehr Sicherheit im Software-Entwicklungsprozess (W. Kettler)
In Fortsetzung des Artikels aus #50 wird die Darstellung von sog. Reifegradmodellen behandelt, deren Ziel ist es, die internen Aktivitäten für mehr Sicherheit bei der Softwareentwicklung zu bewerten und hieraus Maßnahmen zur Verbesserung abzuleiten.
Ausgabe 51
(Oktober 2010)
Live Analyse im Rahmen der Sicherheitsvorfallbehandlung (S. Krause)
Der Artikel behandelt die Vorgehensweise zur Beweissicherung nach dem Auftreten von Sicherheitsvorfällen. Er gibt Hinweise zur sinnvollen Vorbereitung und geht insbesondere auf die digitale Spurensuche direkt im Arbeitsspeicher eines Systems ein.
ITIL und Informationssicherheitssysteme nach ISO 27001
(Dr. K. Kamphenkel)
Der Artikel versucht eine Übersicht über die Anstrengungen von staatlichen Behörden, Non-Profit-Organisationen oder Software-Herstellern und IT-Dienstleistern zu geben, nachhaltig Qualität und Sicherheit in den Prozess der Software-Entwicklung zu integrieren.
Ausgabe 50
(August 2010)
Aktuelle Sicherheitsbedrohungen in der Prozessleittechnik
(Dr. S. Beirer)
Es werden zwei aktuelle Ereignisse analysiert, die in fast schon dramatisch zu nennender Art und Weise aufzeigen, welche Konsequenzen Sicherheitslücken in der Prozessleittechnik haben können.
Standards und Verfahren für mehr Sicherheit im Software-Entwicklungsprozess (W. Kettler)
Der Artikel versucht eine Übersicht über die Anstrengungen von staatlichen Behörden, Non-Profit-Organisationen oder Software-Herstellern und IT-Dienstleistern zu geben, nachhaltig Qualität und Sicherheit in den Prozess der Software-Entwicklung zu integrieren.
Insider Threats – ausreichend beachtet? (D. Weidenhammer)
Recht dürftig nehmen sich immer noch die Maßnahmen gegen böswillige Insider aus. Der Artikel bewertet neueste Untersuchungen hierzu und beschäftigt sich mit Angreifern und auch Gegenmaßnahmen.
Ausgabe 49
(Juni 2010)
Der neue BSI-Baustein "Notfallmanagement" (H. Diening)
Der neue Baustein B 1.3 "Notfallmanagement" aus den Grundschutzkatalogen des BSI wird vorgestellt und bzgl. seiner möglichen Verwendung bewertet.
Return Oriented Programming vs. DEP (A. Schuster / T. Gimpel)
Es werden aktuelle Entwicklungen zur Problematik des Ausnutzens von gezielt herbei geführten Pufferüberläufen in Programmen behandelt und mögliche Gegenmaßnahmen aufgezeigt.
Ausgabe 48
(April 2010)
Mailarchivierung in Unternehmen (Dr. T. Johr)
Der Artikel zeigt die notwendigen Schritte zur Auswahl und Einführung eines Archivsystems für E-Mail auf und gibt zudem einen Überblick über hierfür relevante kommerzielle Lösungen.
Sicherheitsanforderungen im automatischen elektronischen Rechnungsaustausch (V. Scholz)
Der zunehmende elektronische Austausch von Rechnungsdaten hat große Auswirkungen auf die verwendete IT-Infrastruktur. Es wird anhand eines Anwendungsszenarios beschrieben, an welchen Stellen potenzielle Risiken lauern und wie diesen begegnet werden kann.
Ausgabe 47
(Februar 2010)
Neuer Standard für Hashfunktionen (K. Kamphenkel)
Der Artikel geht in einer kurzen Einführung zunächst auf die Bedeutung von Hashfunktionen ein. Anschließend wird ein Blick auf den laufenden Hashfunktionen-Wettbewerb der NIST geworfen.
Wie sicher sind Social Networks? (D. Weidenhammer)
Aus Sicherheitssicht interessiert besonders wie in Social Networks mit den Belangen von Privacy und Security umgegangen wird. Es wird dazu die bisherige Entwicklung solcher Networks aufgezeigt und unter Sicherheitsaspekten bewertet.

Nach oben

Ausgabe 46
(Dezember 2009)
Risiken bei "Cloud Computing" (H. Diening)
Es werden kurz die Charakteristiken des Ansatzes zum Cloud Computing skizziert und dabei selbstverständlich das Hauptaugenmerk auf mögliche Risiken für die Informationssicherheit gelegt.
OWASP Top-10 nun mit Risk Rating (D. Weidenhammer)
Die neueste Top-10 Liste der OWASP wurde um den wichtigen Aspekt der Risikobewertung ergänzt. Der Artikel beschreibt die Schwachstellen und bewertet diesen neuen Ansatz zur Risikoeinstufung.
Ausgabe 45
(Oktober 2009)
Sicherheit im elektronischen Geschäfts- und Behördenverkehr
(Dr. T. Johr)
Die Übermittlung von vertraulichen Informationen über Netzwerkgrenzen hinweg kann auf unterschiedliche Arten gesichert werden. Der Artikel untersucht hierzu die Lösungen Virtuelle Poststelle, Internet E-Mail, ELSTER, DeMail und Internet-Brief der DPAG.
Adobe Flash und die Super Cookies (A. Schuster)
Um dem zustandslosen http-Protokoll Statusinformationen mitzugeben, werden z.B. Cookies genutzt. Mit den neu auftretenden Sicherheitsrisiken durch „Flash-Cookies“ beschäftigt sich dieser Artikel.
Juristische Fallstricke bei Scan-/Pentests? (D. Weidenhammer)
Unternehmen, die Scan-/Pentests anbieten, befanden sich schon immer in einer rechtlich schwierigen Situation. Auswirkungen und aktueller Stand zum sog. „Hackerparagraphen“ werden im Artikel näher untersucht.
Ausgabe 44
(August 2009)
Probleme im Zertifikatsmanagement der eGK (K. Kamphenkel)
Aktualität und Brisanz einer kürzlich gefundenen Sicherheitslücke rechtfertigen es, in dem Artikel einen kritischen Blick auf die komplexe Struktur der zu schaffenden Public-Key-Infrastruktur (PKI) zu werfen.
Sicherheit von Web-Applikationen (W. Kettler)
Komplexe Software ist auch immer fehleranfällig, aber muss das wirklich so sein? Der Artikel beleuchtet diese Problematik einmal aus der Sicht des Software-Entwicklers.
Ausgabe 43
(Juni 2009)
Die Bedeutung von E-Mail im Rechtsverkehr (Dr. J. Bücking)
Gegenstand des Artikels ist eine Vorstellung der rechtlich bedingten Notwendigkeiten, die in Bezug auf die Archivierung geschäftlicher E-Mails zu beachten sind.
Datendiebstahl – Studien und deren Erkenntnisse (D. Weidenhammer)
Es werden einige jüngst veröffentlichte Studien zu Datendiebstählen untersucht, wobei deren wesentliche Ergebnisse benannt werden, aber auch kritisch auf offensichtliche Qualitätsmängel eingegangen wird.
Ausgabe 42
(April 2009)
Die elektronische Gesundheitskarte (K. Kamphenkel)
Der Artikel beinhaltet eine genauere Betrachtung der Sicherheitsaspekte der Gesundheitskarte (eGK) und der von ihr untrennbaren IT-Infrastruktur.
Secure Mail Gateways – Praxis (Dr. T. Johr)
Basierend auf langjährigen Projekterfahrungen mit dem Einsatz von SMGWs werden die wichtigsten Planungsschritte beschrieben, die vor dem Beginn eines solchen Projektes zu beachten sind.

Nach oben

Ausgabe 41
(Februar 2009)
Vorgehen bei Security Awareness-Kampagnen (J.-M. Marohn)
Der Artikel geht auf die Vorbereitung und praktische Durchführung von Security Awareness-Kampagnen ein. Neben der Grobplanung werden die passenden Module für das jeweilige Unternehmen vorgestellt.
Wie unsicher ist Online-Banking? (D. Weidenhammer)
Dieser Folgeartikel zur letzten Ausgabe nimmt sich nun der direkten Angriffsmöglichkeiten auf Bankkunden an. Es werden die gängigsten Angriffsformen vorgestellt und absehbare Entwicklungen aufgezeigt.
Ausgabe 40
(Dezember 2008)
Security Awareness - the next Generation (J.-M. Marohn)
Es wird die Systematik einer Security-Awareness beleuchtet, die die Angestellten zu Sicherheits-Mit-Arbeitern machen möchte. Dies gilt allgemein als der beste Schutz gegen Sicherheitsbedrohungen.
Wer schraubt da an den Aktienkursen? (D. Weidenhammer)
Die „Manipulation von Aktienkursen“ wird bisher kaum öffentlich thematisiert, obwohl vielfältige Angriffsmöglichkeiten existieren. Diese werden hier vorgestellt, verbunden mit Empfehlungen zur Abwehr.
Ausgabe 39
(Oktober 2008)
Sicherheitsfragen zum Einsatz von Skype (H. Diening)
Der Artikel greift eine der aktuell "heißesten" Anwendungen heraus und gibt Antworten auf Fragen zur Erkennung einer verborgenen Nutzung oder die mit einem Einsatz verbundenen Sicherheitsrisiken.
E-Mail-Archivierung / Vorratsdatenspeicherung (U. Emmert)
Hier wird einigen rechtlichen Aspekten der Informationstechnologie erhöhte Aufmerksamkeit geschenkt. Insbesondere die Vorratsdatenspeicherung wird ab 2009 genauer zu beobachten sein.
Ausgabe 38
(August 2008)
EU-Dienstleistungsrichtlinie (W. Kettler)
Der Artikel beleuchtet die Umsetzungsplanung der neuen EU-Dienstleistungsrichtlinie und nimmt insbesondere die vorgesehenen Sicherheitsmaßnahmen kritisch unter die Lupe.
Reglementierung der Internet-Nutzung (D. Weidenhammer)
Sicherheitsvorkehrungen bei der Internet-Nutzung im Unternehmen tangieren immer auch rechtliche Aspekte. In dem Artikel werden die wichtigsten Sachverhalte erläutert und durch Empfehlungen ergänzt.
Ausgabe 37
(Juni 2008)
OpenSSL und aktuelle Browser (Ralf Stange)
OpenSSL lieferte unlängst eines der gravierendsten Beispiele zum Thema Schlüssel-Kompromittierung. Deswegen greifen wir die Auswirkungen in diesem Artikel auf und beleuchten einige der Hintergründe.
Verschlüsselte E-Mails an Jedermann (Dr. T. Johr)
Der Artikel zeigt auf, welche Möglichkeiten es zur Sicherung von E-Mails gibt und wie Adressaten ohne eigene Sicherheitslösung trotzdem in den sicheren Austausch von E-Mails einbezogen werden können.

Nach oben

Ausgabe 36
(April 2008)
Xen und VMware ESX (Dr. S. Beirer)
Es werden Sicherheitsaspekte der Rechnervirtualisierung am Beispiel der beiden führenden Technologien VMware ESX Server und Xen diskutiert.
Das Sicherheitsproblem Virenscanner (B. Fröbe)
Virenscanner sind in den letzten Jahren zunehmend selber das Ziel von erfolgreichen Angriffen geworden. Der Artikel zeigt die von Virenscannern selber verursachten Sicherheitsprobleme auf.
Ausgabe 35
(Februar 2008)
Online-Durchsuchung (D. Fox)
Der Artikel Die "Online-Durchsuchung" basiert auf einer Stellungnahme, die der Autor als sachkundige Auskunftsperson anlässlich der öffentlichen Anhörung des Bundesverfassungsgerichts erstellt hat.
PDF entmystifiziert (T. Gimpel)
Es wird dargestellt, warum PDF auch nicht sicherer als andere Dokumentenformate ist und der mitgelieferte Schutz des Dokumenteninhalts sich wohl eher gegen unbedarfte Angreifer richtet.
Ausgabe 34
(Dezember 2007)
SIM + SEM = SIEM? (D. Weidenhammer)
Um Sicherheitsinformationen (Logs, Events) sinnvoll auszuwerten, kommen SIEM-Tools in Mode. Der Artikel zeigt die aktuelle Entwicklung und benennt Stärken und Schwächen der verfügbaren Produkte.
Toolunterstützung beim Betrieb eines ISMS (H. Diening)
Der Artikel zeigt die Aufgaben von unterstützenden Tools für einen ISMS-Betrieb auf, spricht typische Probleme bei deren Einführung an und geht dabei auch auf zwei marktrelevante Produkte ein.
Ausgabe 33
(Oktober 2007)
Metrikbasiertes Patchen mit CVSS - Konzept mit Methode (D-J. Röcher)
Im dem Artikel wird eine Methodik zur Bewertung von Schwachstellen erläutert, die über verschiedene Metriken alle relevanten Aspekte berücksichtigt und so zu einer Verbesserung des Patchmanagement-Prozesses beitragen kann.
Biometrie auf die Finger geschaut (H. Diening)
Nach einer kurzen Übersicht über Funktionsweise und mögliche Angriffspunkte auf Biometrischen Verfahren werden beispielhaft konkrete Schwächen diverser Produkte aufgezeigt.
Ausgabe 32
(August 2007)
SAN Security (Dr. S. Beirer)
Storage Area Networks (SAN) speichern oft auch sensible Daten, deshalb sind Sicherheitsaspekte genau zu beachten. Im Artikel werden Sicherheitsbedrohungen und Gegenmaßnahmen dargestellt.
Flash Security Roundup (B. Fröbe)
Der Artikel beleuchtet Bedrohungen durch die Nutzung des Flash Players – mit Hinweisen für Anwender, IT-Administratoren und Betreiber von Webservern – und gibt Empfehlungen, wie diesen zu begegnet ist.

Nach oben

Ausgabe 31
(Juni 2007)
Auswirkungen des neuen TMG (D. Weidenhammer)
Im März 2007 ist das neue Telemediengesetz (TMG). Über die wichtigsten Inhalte und die zu erwartenden Folgen für die Internetnutzung gibt der Artikel „Auswirkungen des neuen TMG“ Auskunft.
Mandatory Integrity Control (Friedwart Kuhn)
Microsoft hat sich bei Vista verstärkt der Integritätssicherung des Betriebssystems angenommen. Der Artikel „Mandatory Integrity Control“ beleuchtet, wie MIC funktioniert und ob es ausreichend ist.
Ausgabe 30
(April 2007)
Bluetooth Security (T. Gimpel, B. Fröbe)
Der Artikel gibt einen Überblick zu Funktionsweise und Sicherheitsmechanismen von Bluetooth und stellt die bisher bekannt gewordenen Sicherheitsprobleme und Angriffstechniken auf Implementierungen vor.
Sind Anti-Virus Lösungen am Ende? (D. Weidenhammer)
AV-Lösungen sind zunehmend überfordert durch neue Malware und professionellere Angreifer. Die bestehenden Probleme werden aufgezeigt und es wird ein Ausblick auf zukünftige Entwicklungen gegeben.
Ausgabe 29
(Februar 2007)
Vista auf Vista Security (B. Fröbe)
Microsoft selber bezeichnet Vista als das sicherste Betriebssystem aller Zeiten. Hieran gemessen werden die wichtigsten der sicherheitsrelevanten eingeführten Neuerungen vorgestellt und bewertet.
Voice over IP und Datenschutz (U. Emmert)
Bei VoIP sind nicht nur Kostenaspekte, sondern auch zahlreiche rechtliche Vorgaben zu beachten. Der Artikel benennt die die in Frage kommenden gesetzlichen Regelungen und gibt Empfehlungen hierzu.
Ausgabe 28
(Dezember 2006)
Bedrohungen der IT-Sicherheit 2006/2007 (D. Weidenhammer)
Es werden in einer Rückschau die wesentlichen Entwicklungen des Jahres 2006 analysiert und mit den vor einem Jahr prognostizierten Trends (siehe Security Journal #22) verglichen.
Metasploit Framework v3.0 (S. Beirer)
Das Erscheinen der Version 3.0 des Metasploit Frameworks bietet den Anlass, die Funktionsweise dieser Entwicklungsumgebung für Exploit-code vorzustellen und seine Mächtigkeit zu demonstrieren.
Ausgabe 27
(Oktober 2006)
AJAX – neue Sicherheitsprobleme mit Web 2.0 (W. Kettler)
Es wird eine Übersicht zu Web 2.0 gegeben und die Entwicklung und Arbeitsweise von Ajax vorgestellt. Danach werden die hiermit zu erwartenden Sicherheitsprobleme untersucht.
XSS 2.0 – neue Gefahren durch Javascript (B. Fröbe)
Neuere Techniken werden vorgestellt, mit denen sich Javascript „kreativ“ so nutzen lässt, dass der Webbrowser als Eingangstor ins Unternehmensnetz missbraucht werden kann.

Nach oben

Ausgabe 26
(August 2006)
Business Continuity Planning (H. Diening)
Der Artikel gibt eine Einführung in die Thematik und beschreibt die wesentlichen Phasen für den IT-Bereich. Dabei geht er insbesondere auf die praktische Umsetzung und unterstützende Softwaretools ein.
Die TOP-100 Security Tools (D. Weidenhammer)
Es wird eine Auflistung von gebräuchlichen Tools zum Testen der IT-Sicherheit vorgestellt, die gerade in die Hände eines jeden Sicherheitsverantwortlichen gehören sollten.
Ausgabe 25
(Juni 2006)
Evaluierung von Web Application Firewalls (WAF) (F. Breitschaft)
Unter besonderer Berücksichtigung der Evaluierungskriterien des "Web Application Security Consortiums" werden die wesentlichen Anforderungen an WAFs vorgestellt und eine Marktübersicht gegeben.
Zunehmende Bedrohung durch Bot-Netze (T. Runge)
Als Beispiel einer ständig wachsenden globalen Bedrohung durch Malware werden technischer Stand und Angriffspotential von Bot-Netzen vorgestellt.
Ausgabe 24
(April 2006)
Zunehmende Kriminalisierung des Internet (D. Weidenhammer)
Das Zusammenspiel von Hacker Know-how und krimineller Energie, verbunden mit ausreichenden finanziellen Ressourcen, schafft ganz neue Bedrohungen für Unternehmen.
Windows Rootkits (B. Fröbe)
Darstellung eines der beliebtesten Hacker-Werkzeuge, das dazu dient, die Spuren eines widerrechtlichen Eindringlings vor aufmerksamen Nutzern oder der eingesetzten Sicherheitssoftware zu verbergen.
Ausgabe 23
(Februar 2006)
Enterprise Firewalls im Vergleich (M. Scheler)
Dieser Vergleich versucht, an konkreten Beispielen die Unterschiede verschiedener Firewall-Architekturen und die derzeit zu erwartenden Funktionen aktueller Firewall-Systeme aufzuzeigen.
Schutz kritischer Infrastrukturen (F. Breitschaft)
Neben einem Überblick über Aktivitäten und Rahmenbedingungen, die von staatlicher Seite an Unternehmen herangetragen werden, wird eine realistische Einschätzung der Kritis-Wirklichkeit gegeben.
Stellungnahme zur ISO 27001 Novellierung des BSI-GSHB (H. Diening)
Bewertung der Arbeiten des BSI zur Angleichung des GSHB an den internationalen Standard für Information Security Management Systeme (ISMS), die ISO/IEC 27001.
Ausgabe 22
(Dezember 2005)
Externe Bedrohungen der IT-Sicherheit - Trends 2006
(D. Weidenhammer)
Der Artikel greift die Entwicklungen des vergangenen Jahres bei den externen Bedrohungen auf und prognostiziert die sich abzeichnenden Trends des neuen Jahres.
Session-Management in Webanwendungen (B. Fröbe)
Eines der wichtigsten Sicherheitsthemen bei Webanwendungen ist das Session-Management. Dass bei den Entwicklern Sicherheitsüberlegungen nicht immer im Vordergrund stehen, zeigt der Artikel.

Nach oben

Ausgabe 21
(Oktober 2005)
Security Metrics (H. Diening)
Es wird aufzeigt, wie mit Metriken eine quantitative Bewertungsgrundlage für die Zielerreichung von Maßnahmen, Prozessen oder anderen Entitäten in der Informationssicherheit eingeführt werden kann.
Rechtskonformer Umgang mit Content-Filterung (U. Emmert)
Content-Security Lösungen werden verstärkt zur Überwachung und Filterung von datenimportierenden Diensten eingesetzt. Dabei sind aber enge rechtliche Grenzen zu beachten, die hier behandelt werden.
Ausgabe 20
(August 2005)
Grundlagen des Identity Managements (D. Fischer)
Die effiziente und sichere Verwaltung digitaler Identitäten wird zunehmend wichtiger. Hierzu werden Aufbau, Problembereiche und Nutzen von in Frage kommenden Werkzeugen analysiert.
IT Security Management Framework - Teil 1 (D. Weidenhammer)
Die notwendige Organisation und Integration aller Sicherheitskomponenten erfordert ein tragfähiges Betriebsmodell. Hierzu wird ein Framework vorgestellt und zunächst die Bedeutung von ITIL untersucht.
Ausgabe 19
(Juni 2005)
Angriffsmöglichkeiten gegen die Netzwerk-Infrastruktur
(E. Rey, P. Fiers)
Es werden neben einigen bekannten Layer-2 Sicherheitsproblemen auch neue Angriffsmethoden beschrieben, die gerade in Cisco-basierten lokalen Netzen unbedingt beachtet werden sollten.
Erfahrungsbericht: Security-Audits von Internetzugängen (M. Scheler)
Der Erfahrungsbericht beruht auf einigen von uns durchgeführten Zweitprüfungen von Internet-Schutzzonen und zeigt die häufigsten Mängel bei vorausgegangenen einfachen Security-Scans auf.
Ausgabe 18
(April 2005)
Bewertung von Sicherheitsmaßnahmen (H. Diening)
Anhand der einzelnen Schritte einer Risikobehandlung werden verschiedene Methoden zur Bewertung von Sicherheitsmaßnahmen erläutert. (Fortsetzung von "Einführung eines ISMS" aus Ausgabe #16)
Zentrale Lösungen zur e-Mail Security (Dr. T. Johr)
Es werden zentrale Signier- und Verschlüsselungslösungen zur e-Mail Security vorgestellt und ihre Vor- und Nachteile im Betrieb erläutert. Eine Produktübersicht benennt die wichtigsten Anbieter.
Sonderdruck aus Ausgabe 18
(Juni 2005)
Zentrale Lösungen zur e-Mail Security (Dr. T. Johr)

Nach oben

Ausgabe 17
(Februar 2005)
Sicherheitstests von Webapplikationen für Jedermann (B. Fröbe)
Es werden einfach durchzuführende Tests aufgezeigt, mit denen jeder selber erste Erkenntnisse über die Sicherheit seiner Webapplikationen gewinnen kann.
Umlautdomänen - Spoofing by Design? (Dr. T. Johr)
Mit der Einführung von internationalen Domänennamen können unter Nutzung von exotischen Zeichensätzen in der URL Phishing-Angriffe initiiert werden. Technik und Gegenmaßnahmen werden beschrieben.
Sind Blackberrys sicher? (F. Breitschaft)
Die Nutzung von BlackBerry ermöglicht einen einfachen mobilen Zugriff auf E-Mails und erfreut sich deshalb zunehmender Beliebtheit. Die damit verbundenen Sicherheitsprobleme werden analysiert.
Sonderdruck aus Ausgabe 17
(Februar 2005)
Sind Blackberrys sicher? (F. Breitschaft)
Die Nutzung von BlackBerry ermöglicht einen einfachen mobilen Zugriff auf E-Mails und erfreut sich deshalb zunehmender Beliebtheit. Die damit verbundenen Sicherheitsprobleme werden analysiert.
Ausgabe 16
(Dezember 2004)
Einführung eines ISMS (H. Diening)
Eine Übersicht zu BS 7799 wird verbunden mit Hinweisen für den Aufbau eines ISMS. Dabei wird auch auf die Möglichkeit der Einbeziehung des BSI-Grundschutzhandbuches eingegangen.
Endpoint Security (F. Breitschaft)
Dezentrale Sicherheitstechniken auf jedem einzelnen Endsystem sind mittlerweile verfügbar und auch administrierbar. Hierzu werden der aktuelle Stand dargestellt und mögliche Lösungen bewertet.
Ausgabe 15
(Oktober 2004)
Sicherer Einsatz ausgehender SSH-Verbindungen (Dr. T. Johr)
Die Nutzung von SSH auch für ausgehende Verbindungen in das Internet hat massive Sicherheitsauswirkungen auf das eigene Netz. Diese werden beschrieben und Gegenmaßnahmen aufgezeigt.
IPS vs ASG - Schutz von Webanwendungen (R. Stange)
Intrusion Prevention Systeme und Web Application Security Gateways verfolgen ähnliche Schutzziele, ohne direkt zu konkurrieren. Dies wird am Beispiel des Schutzes von Webanwendungen aufgezeigt.
Ausgabe 14
(August 2004)
Grundlagen der forensischen Analyse von IT-Vorfällen (B. Fröbe)
Das Vorgehen bei der Forensik zu IT-Vorfällen wird von der Erkennung über die Beweissicherung bis hin zur Analyse erläutert. Die dabei genutzten Tools und Techniken werden kurz dargestellt.
SIM - Security Information Management (D. Weidenhammer)
Der Stand der Technik zur Verarbeitung von Sicherheitsinformationen wird aufgezeigt und es werden Hinweise zur Produktbewertung und zur Einführung dieser neuen Technik gegeben.

Nach oben

Ausgabe 13
(Juni 2004)
Datenbank-Sicherheit (W. Kettler)
Benennung der häufigsten Sicherheitsprobleme beim Einsatz von Datenbanken und Empfehlung von Maßnahmen zum Schutz vor externen und internen Angreifern.
Smarte (Un)Sicherheit (B. Fröbe)
Überblick zu den bei Smartphones eingesetzten Technologien mit kurzer Risikobetrachtung und einigen Sicherheitshinweisen.
Ausgabe 12
(April 2004)
Multifunktionale Content-Security-Gateways (D. Weidenhammer)
Bewertung von Security-Gateways, die zur Erweiterung der zentralen Schutzfunktionen als integrierte Lösungen für Content-Scanner und -Filter, Anti-Spam, SSL-Proxy angeboten werden.
Brandbekämpfung im Netz (U. Emmert)
Am Beispiel Firewall/Schutzzone wird beschrieben, welche Maßnahmen ein Unternehmen zu treffen hat, um bei Sicherheitsverletzungen nicht mit Haftungsansprüchen konfrontiert zu werden.
Ausgabe 11
(Februar 2004)
Grundlagen eines effizienten Patchmanagements (B. Fröbe)
Überblick zur Notwendigkeit eines aktiv betriebenen Patchmanagements und Empfehlungen zu seiner Umsetzung im Tagesbetrieb.
SSL in Theorie und Wirklichkeit (Dr. T. Johr)
Erläuterung der grundlegenden Konzepte von SSL und Diskussion der Sicherheitsprobleme in Implementierung, Administration und Nutzung. Vorstellung einiger illustrierender Beispiele.
Ausgabe 10
(Dezember 2003)
Web-Services und Security (Dr. G. Brose)
Beschreibung der Grundlagen von Web-Services und Vorstellung der relevanten Standards im Sicherheitsbereich. Diskussion konkreter Sicherheitstechnologien unter Architekturgesichtspunkten.
Wie viel darf IT Sicherheit kosten? (D. Weidenhammer)
Darstellung und Bewertung von qualitativen und quantitativen Argumentationshilfen bei Investitionsverhandlungen zur IT-Sicherheit. Tools zur Berechnung von RoSI (Return-of-Security-Investment)
Ausgabe 9
(Oktober 2003)
SSL-Proxy: Gateway-Security trotz Verschlüsselung (R. Stange)
SSL-Proxies dienen der Unterbrechung verschlüsselter Verbindungen, um auch diese einer zentralen Kontrolle auf Malware und einer zentralen Zertifikatsverwaltung unterziehen zu können.
Zentrales Mail-Gateway als virtuelle Poststelle (D. Weidenhammer)
Einfache Möglichkeit für Unternehmen eine gesicherte Email-Kommunikation mit zentral administrierter Verschlüsselung und Signierung aufzubauen.

Nach oben

Ausgabe 8
(August 2003)
SPAM-Abwehr: Was ist rechtlich und technisch machbar?
(F. Breitschaft)
Neben rechtlichen Grundlagen der SPAM-Abwehr werden technische Möglichkeiten einiger konkreter Produkte beschrieben und bewertet.
Instant Messaging - die neue Bedrohung? (D. Weidenhammer)
Die Risiken bei der Nutzung von Instant Messaging (IM) sind weitgehend unbekannt. Dieser Artikel schafft Abhilfe und beschreibt die notwendigen Schutzmaßnahmen.
Ausgabe 7
(Juni 2003)
Rechtliche Maßnahmen zur Hackerabwehr (U. Emmert)
Aktuelle Rechtsgrundlagen zur Überwachung und Verfolgung von Hacker-Angriffen auf ein Unternehmen. Erlaubte Möglichkeiten zur Notwehr und Selbsthilfe.
Verschlüsselte Dateiablage (F. Breitschaft)
Bei hohem Schutzbedarf von Daten müssen auch im Intranet Verschlüsselungstechniken eingesetzt werden. Erfahrungsbericht zu einem Projekt.
Transparente Software - .NET ein Risiko? (S. Nowozin)
Sprachen wie Java und die .NET Familie schaffen durch ihre Portabilität in Punkto Sicherheit neue Probleme. Für .NET werden hierzu Schwachstellen und Auswege aufgezeigt.
Ausgabe 6
(April 2003)
Design sicherer Unix-Administrationsumgebungen (Dr. T. Johr)
Projektergebnisse zum Aufbau einer sicheren Unix-Administration mit dem Einsatz von SSH und sudo für sichere Ende-zu-Ende-Verbindungen.
Sichere Webapplikationen (B. Fröbe)
Beschreibt die Grundlagen von Webapplikationen und benennt die am häufigsten auftretenden Sicherheitsprobleme mit Hinweisen zu deren Vermeidung.
Ausgabe 5
(Februar 2003)
Sicherung von Laptops (D. Weidenhammer)
Überblick zur Verbesserung der Sicherung von mobilen Systemen. Es werden sowohl physische als auch systemtechnische Schutzmaßnahmen angesprochen.
Sicherheit im LAN (S. Nowozin)
Typische LAN-Schwachstellen aus der Sicht eines Angreifers. (ARP-Spoofing, DoS, Sniffen in geswitchten Netzen, IP-Spoofing, Man-in-the-Middle und DHCP-Angriffe)
Ausgabe 4
(Dezember 2002)
Sicherheit von zSeries Systemen unter z/OS und Linux (F. Breitschaft)
Ist im UNIX Bereich der Host vor Buffer Overflows und Format String Attacken sicher? Ist "Host-Security" ein Mythos oder Realität? Ein Praxistest der GAI NetConsult mit überraschenden Ergebnissen.
Sicherheitsrisiko Internet Explorer? (B. Fröbe)
Vorstellung aktueller Sicherheitslücken und Empfehlungen zur sicheren Konfiguration des Internet Explorers.

Nach oben

Ausgabe 3
(Oktober 2002)
Personal Firewalls im Unternehmenseinsatz (M. Scheler / F. Breitschaft)
Ergebnisse einer Produktevaluierung der GAI NetConsult mit gewichteter Bewertung von Firewall-Engine und Möglichkeiten zum zentralen Management.
Rechtliche Aspekte des Betriebs von WWW-Servern (R. W. Gerling)
Empfehlungen zur Beachtung neuer rechtlicher Rahmenbedingungen für die Kennzeichnungspflicht bei Webangeboten. Beispiel eines "rechtlich sauberen Disclaimers" für die Impressumsseite.
Ausgabe 2
(August 2002)
Web-Services: Neue Chancen, aber auch neue Risiken! (W. Kettler)
Vorstellung von Entwicklung, Standardisierung und absehbaren Sicherheitsproblemen bei Web-Services.
Buffer Overflows: Eine Einführung (S. Nowozin)
Darstellung von Gefährdungspotential und technischen Grundlagen dieser verstärkt eingesetzten Angriffstechnik.
Ausgabe 1
(Juni 2002)
KonTraG: Pro-aktives Risk Management wird zur Pflicht
(D. Weidenhammer)
Vorstellung der Anforderungen des KonTraG an den IT Risk Management Process. Ausführliche Diskussion der Phase: Risikoidentifikation.
Viren und Würmer - Ein Ausblick auf kommende Zeiten (S. Nowozin)
Überblick zur Funktionsweise von Viren und Würmern und Prognose über die zu erwartenden Entwicklungen hin zu Hybridversionen.

Nach oben

Anmeldung

Die jeweils aktuellste Ausgabe wird ausschließlich an unsere Abonnenten per E-Mail versandt.

Sie sind noch kein Abonnent?

>> Hier geht's zur Anmeldung

Ältere Ausgaben

Sie sind Abonnent und haben Interesse an einer älteren Ausgabe des Security Journals?

... schreiben Sie uns einfach an:

 journal@gai-netconsult.de

© 2017 GAI NetConsult GmbH, Am Borsigturm 58, D-13507 Berlin, Letzte Änderung 10.07.2017