Sichere eBusiness-Lösungen ...
... komplett aus einer Hand
Druckversion

Das Security Journal ist ein kostenloser Service der GAI NetConsult GmbH und erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit.

Mit unseren Erfahrungen aus vielen Sicherheitsprojekten wollen wir den Lesern helfen, "typische" Fehler zu vermeiden und durch erweitertes Know-how auch neue Themen effizienter angehen zu können. Jede Ausgabe enthält einen ausführlichen Fachartikel zu Themen aus Sicherheitstechnik oder -management. In einem News-Block werden zudem in Kurzform wichtige Entwicklungen zur Informationssicherheit näher beleuchtet. Die "Top 10 der Sicherheitsrisiken" stellen die unserer Ansicht nach wichtigsten Bedrohungen der letzten zwei Monate zusammen. Ergänzend hierzu gibt es dann noch die "ICS/OT Security News" mit den wichtigsten Sicherheitshinweisen speziell zu Steuerungs- und Automatisierungssystemen. Auf diese sollte man unbedingt durch die empfohlenen Gegenmaßnahmen reagieren.


Aktuell: Ausgabe 134 (August 2024)

Vor nicht einmal sechs Wochen erschütterte ein gravierender Sicherheitsvorfall weltweit eine Vielzahl von Unternehmen. Der Betrieb an Flughäfen stand still, Banken konnten nicht mehr arbeiten, Züge fielen aus und Firmen schickten ihre Mitarbeiter nach Hause, weil ihre IT-Systeme nicht mehr liefen. Pikanterweise war der Verursacher die Sicherheitssoftware Falcon Sensor der US-Firma CrowdStrike. Grund war ein fehlerhaftes Update, hervorgerufen durch unzureichende Validierungstests des Herstellers vor der weltweiten Auslieferung. Wirft das jetzt ein bezeichnendes Bild auf den aktuellen Stand der Softwareentwicklung und -verteilung? Der Artikel „CrowdStrike erschüttert die Welt“ gibt hierzu einige interessante Einblicke.

In dieser Ausgabe widmen wir uns auch einem zweiten Thema. Seit Mai 2024 ist das neue Digitale-Dienste-Gesetz (DDG) in Deutschland in Kraft. Die wichtigsten Änderungen werden in einem kurzen Artikel vorgestellt und insbesondere wird auf Anpassungsbedarf für die Betreiber von Websites hingewiesen.


Artikelübersicht

AusgabeArtikel
Ausgabe 133
(Juni 2024)

UAC - Useless Authorization Check?
(S. Meyer)
Nicht nur neu entwickelte Software enthält Sicherheitsschwachstellen, immer wieder werden aber auch Probleme bei schon länger eingesetzter Software bekannt. So ist das User Account Control (UAC) ein integraler Bestandteil von Windows, das die Berechtigungen von Adminis-tratoren steuert. Auch wenn UAC Bypasses mittlerweile altbekannt sind, werden immer wieder Wege gefunden, die von Malware genutzt werden können, um selber einer Erkennung zu entgehen und den vollen Zugriff auf ein Zielsystem zu ermöglichen. Warum man UAC aber trotzdem nicht deaktivieren sollte und welche Gegenmaßnahmen es gibt, werden in dem Artikel beschrieben.

Ausgabe 132
(April 2024)
Supply-Chain Angriffe
(B. Schwarz, D. Url)
Die Verwendung von Drittanbieter-Software durch Unternehmen eröff-net potenzielle Angriffspunkte, die vom eigentlichen Anbieter zwingend geschützt werden müssen. Sollten Angreifer diese Software erfolgreich kompromittieren können, beispielsweise durch Manipulation eines Softwareupdates, können sie diese Schadsoftware weit und auch lange Zeit unentdeckt verbreiten. Daher müssen Unternehmen und ihre Drittanbieterpartner Sicherheitsmaßnahmen implementieren, um po-tenzielle Risiken zu minimieren. Einige der möglichen Angriffswege werden im Artikel genauer vorgestellt und durch Beispiele aus der Praxis untermauert.
Ausgabe 131
(Februar 2024)
Aktuelle Bedrohungen im Bereich der Energieversorgung aus technischer Sicht
(A. Brosche)
Die Organisierte Kriminalität und auch Geheimdienste haben mit ihren enormen Kapazitäten an Geld und Personal neue Bedrohungsszenarien entstehen lassen. Im jüngsten Lagebericht des BSI wird die aktuelle Bedrohungslage im Bereich der IT-Sicherheit als „angespannt bis kritisch“ bezeichnet. Dies wird durch die publik gewordenen Vorfälle vor allem im Bereich der Energieversorgung besonders deutlich. Der vorliegende Artikel liefert hierzu einen technischen Überblick aus der jüngeren Vergangenheit, um mit diesen Fallbeispielen exemplarisch die Möglichkeiten der Angreifer (und teilweise auch der Verteidiger) aufzuzeigen.
Ausgabe 130
(Dezember 2023)
Dein Defender? Mein Defender! Angriffe auf den Windows Defender
(S. Meyer)
Die Software aus vermeintlich sicheren Quellen setzt wohl jedes Unternehmen ein. Einen Quellcode-Audit kann man selten durchführen, muss also dem Hersteller nahezu blind vertrauen. Gibt es aber vielleicht Angriffsmöglichkeiten, die man kaum verhindern kann? Unter der Annahme, dass ein Angreifer durch eine Firewall zwar keine direkten Verbindungen mit einem Zielsystem aufbauen kann, er aber einen Dienst nutzt, durch den Dateien auf dem Zielsystem geschrieben werden können, sind Angriffe durchaus vorstellbar. Und hier kommen beispielhaft der Windows Defender und manipulierte Updates ins Spiel. Das mögliche Vorgehen eines Angreifers soll in diesem Artikel näher untersucht werden.auf.
Ausgabe 129
(Oktober 2023)
Passkeys – Der Weg in die passwortlose Zukunft?
(R. Senn)
Die Authentifizierung bei der Nutzung von Internet-Diensten ist auch heute noch Realität, genauso wie die Verwendung von mehr oder minder unzureichend gewählten oder geschützten Passwörtern. Vielfache Missbräuche in den letzten Jahren haben nun auch die großen Internet-Anbieter zur Unterstützung einer neuen Methode veranlasst. Passkeys sollen die Authentifizierung sicherer, komfortabler und auch zeitsparender machen. Der Artikel gibt eine Einführung in die technischen Hintergründe von Passkeys und zeigt deren große Vorteile gegenüber Passwörtern auf.
Ausgabe 128
(August 2023)
Gefahren von ChatGPT und Co – Was sind Prompt Injections?
(L. Harlan)
Künstliche Intelligenz in Form von Sprachmodellen und Chatbots eröffnet Cyberkriminellen gänzlich neue Möglichkeiten. Etwa ein halbes Jahr nach der Veröffentlichung von ChatGPT Anfang 2023 steht die Forschung zu den Sicherheitsrisiken der sprachbasierten künstlichen Intelligenz noch in den Kinderschuhen. In dem Artikel werden einige neue Techniken vorgestellt und es wird gezeigt, dass Sprach-modelle wie ChatGPT aktuell nicht ausreichend gegen sogenannte „Prompt Injections“ abgesichert sind.
Ausgabe 127
(Juni 2023)
Das MITRE ATT&CK® for ICS Framework?
(L. Landsberger)
Die Sicherheit von Industriellen Steuerungssystemen (ICS) und Systemen der Operational Technology (OT) findet zunehmend Beach-tung, da sie sich immer komplexeren Cyberangriffen erwehren müssen. Die Folgen von erfolgreichen Angriffen können gravierend sein, daher ist es von hoher Bedeutung, die Systeme gut zu schützen. Eine effektive Möglichkeit, ICS-Bedrohungen zu kategorisieren und zu analysieren, ist die Verwendung des Frameworks MITRE ATT&CK for ICS. In dem Artikel wird gezeigt, wie ICS/OT-Betreiber hiervon profitieren können.
Ausgabe 126
(April 2023)
Versteckte Risiken durch Embedded Systems?
(D. Weidenhammer)
„Embedded Systems“ finden sich „eingebettet“ in einer Vielzahl von kritischen Komponenten in den unterschiedlichsten Anwendungsbe-reichen. Sie sind für den Benutzer kaum noch erkennbar, da sie zu-meist verbaut sind in komplexeren Geräten, deshalb werden sie auch oft innerhalb eines Sicherheitskonzepts vergessen bzw. vernachlässigt. Steigende Zahlen von Sicherheitsvorfällen machen es unabdingbar einen stärkeren Fokus darauf zu werfen. In diesem Artikel soll das Thema primär im industriellen Einsatz betrachtet werden.
Ausgabe 125
(Februar 2023)
Gefährliche Orakel - Wieso Blockchiffren im CBS-Modus angreifbar sind
(L. Harlan)
In unserer Kommunikationswelt kommt gerade der Sicherung der benutzten Kommunikationswege eine hohe Bedeutung zu. Protokolle wie TLS, die die gesicherte Kommunikation über das Internet erst ermöglichen, beinhalten aber Schwachstellen. In dem Artikel werden nicht nur die theoretischen Schwächen von TLS/CBC erläutert, sondern auch warum durch einen Angriff, unter bestimmten Bedingun-gen, die Verschlüsselung komplett gebrochen werden kann. Des Weiteren wird darauf eingegangen, wie man sich vor diesen Angriffen schützen kann.
Ausgabe 124
(Dezember 2022)
Post-Quanten-Kryptographie – Wirksame kryptographische Verfahren für die Zukunft
(R. Gundlach)
Zum Austausch von „sensiblen“ Informationen bedient man sich seit langem kryptographischer Methoden zur Verschlüsselung und Integritätssicherung. Diese beruhen auf der Annahme, dass es praktisch unmöglich ist, einen Klartext wiederherzustellen, ohne dass der oder die Schlüssel bekannt sind. Eine Bedrohung ganz neuer Art stellen hier Quantencomputer dar, die sämtliche bisherigen Einschätzungen zur Sicherheit von verschlüsselten Informationen infrage stellen. Wie man in Zukunft „quantensicher“ kommuniziert, will der Artikel erläutern.
Ausgabe 123
(Oktober 2022)
Versicherung von Cyberrisiken im Kontext Kritischer Infrastrukturen
(A. Brosche)
Cyber-Versicherungen stellen einen relativ jungen Zweig der Versicherungswirtschaft dar. Als Ergänzung zu herkömmlichen Sicherheitsmaßnahmen können sie für Unternehmen aber durchaus sinnvoll sein, da damit evtl. noch verbliebene Restrisiken abzumildern bzw. eben auf eine Versicherung zu übertragen sein können. Der Artikel will die Chancen und Grenzen sowie die sehr unterschiedlichen Vertragsbedingungen solcher Cyberversicherungen näher beleuchten.
Ausgabe 122
(August 2022)
OT:ICEFALL: Insecure-by-Design bleibt ein Problem bei OT-Komponenten
(M. Joos)
Der Sicherheit von Komponenten der Kritischen Infrastruktur ist eine besondere Aufmerksamkeit zu widmen. Gerade bei der Software von OT-Komponenten können ausnutzbare Schwachstellen gravierende Folgen nach sich ziehen. Bei den meisten Schwachstellen handelt es sich um sogenannte Entwurfsfehler, wie in einer Veröffentlichung der Firma ForeScout nachgewiesen wurde. Deren Aussagen und Ergebnisse werden in dem Artikel zusammengefasst und bewertet.
Ausgabe 121
(Juni 2022)
Cloud Security – wie dunkel ist die Wolke?
(D. Weidenhammer)
Was vor Jahren noch undenkbar schien, ist heute fast schon zu einer Selbstverständlichkeit für viele Unternehmen geworden. Daten, Anwendungen oder auch die benötigten IT-Systeme an einen externen Cloud-Provider auszulagern und von Ferne zu nutzen. Aus reiner Sicherheitssicht ist das Ganze aber schon argwöhnisch zu betrachten. Dies zeigt sich, wie leider zu erwarten war, in der stark ansteigenden Zahl an erfolgreichen Angriffen in den letzten Jahren. Der Artikel gibt hierzu einen Überblick der aktuellen Entwicklungen.
Ausgabe 120
(April 2022)
Application Security Compliance Testing
(S. Krause)
Die Menge an Informationssicherheits- und Datenschutzvorgaben, die Betreiber von IT- und OT-Infrastrukturen umsetzen müssen, nimmt seit Jahren ständig zu. Neben übergreifenden gesetzlichen Vorgaben auf nationaler und EU-Ebene bestehen für die Betreiber auch sektorspezifische Anforderungen. Der klassische Penetrationstest ist zwar immer noch sinnvoll, allein aber nicht in jedem Fall mehr die beste Option. Der Artikel beschreibt hierzu weitere sinnvolle Prüfverfahren als Ergänzung zu herkömmlichen Penetrationstests.
Ausgabe 119
(Februar 2022)
Top 20 Secure PLC Coding Practices
(E. Schmidt)
In der Softwareentwicklung sind Secure Coding Best Practices weitge-hend bekannt, stehen zumeist im Internet zur Verfügung und werden umfangreich genutzt. Ziel ist es, Systeme effizienter, widerstandsfähi-ger und sicherer zu machen. Diese Guidelines sind jedoch im industriel-len Einsatz z.B. für die SPS-Programmierung weniger geeignet, zu un-terschiedlich sind die Anforderungen an Funktionalität und Sicherheit. In dem Artikel werden Handlungsvorgaben vorgestellt, die im Rahmen solcher Programmierprojekte umgesetzt werden sollten.
Ausgabe 118
(Dezember 2021)
Priorisierung von Schwachstellen mit SSVC
(M. Joos)
Methoden zur Schwachstellenbewertung haben das Ziel, bei einer Sicherheitsvorfallsbehandlung eine Priorisierung zu liefern. Dabei ist nicht immer klar, welche Handlungen nach einer Bewertung folgen sollten. Hierbei könnte die neue SSVC-Methode Abhilfe schaffen, in der als Ergebnis konkrete Handlungen ermittelt werden. Der Artikel stellt die Bewertungsmethode vor und zieht einen Vergleich zum immer noch verwendeten Industriestandard CVSS.
BGP – unsicheres Rückgrat des Internets?
(D. Weidenhammer)
Angriffe gegen die Infrastruktur des Internets gab es in den letzten Jahren immer wieder, dabei handelte es sich zumeist um massive DoS-Attacken gegen Router oder DNS-Server. Man kann sich aber auch vorstellen, dass Angriffe gegen Strukturelemente des Internets wie das BGP verheerende Folgen haben könnten. Die dabei verwendeten Tech-niken und einige reale Fälle werden in dem Artikel vorgestellt.
Ausgabe 117
(Oktober 2021)
Integriertes Management System - ein Anwendungsbeispiel
(Y. Ivanova, Dr. K. Tomov)
„Integriertes Managementsystem (IMS)" interpretieren viele als die Zusammenführung der diversen im Unternehmen etablierten Managementsysteme. Das daraus resultierende, integrierte Managementsystem soll es dem Unternehmen ermöglichen, unter Anwendung eines einheitlichen Ansatzes, alle Normanforderungen zu erfüllen. Der Artikel wird dies anhand eines Anwendungsbeispiels näher erläutern.
Red Teaming im OT-Bereich
(J. Rehberg)
Technische Sicherheitsüberprüfungen gehen immer noch häufig von der Annahme aus, dass sich Risiken aus der IT-Welt nicht auch im OT-Bereich auswirken. Leider wird diese Annahme eher selten verifiziert, ein Versäumnis, das schwerwiegende Folgen nach sich ziehen kann. Der Artikel beschreibt die Simulation eines realen Angriffs und soll damit einige Ansatzpunkte zu größerem Erkenntnisgewinn aufzeigen.
Ausgabe 116
(August 2021)
The Art of Defense - Ransomware Operations
(M. Manzke)
Zunehmend werden Unternehmen Opfer von Angriffen mit Erpressungs- oder Lösegeld-Trojanern, auch als Ransomware bekannt. Abwehr und Schutz vor diesen Angriffen über die IT-Infrastruktur besteht aus dem Erkennen der eigenen Gefährdungslage und nachfolgenden organisatorischen Maßnahmen. Hierzu will dieser  Gastbeitrag einige Hinweise geben.
Was bringt das neue IT-Sicherheitskennzeichen?
(D. Weidenhammer)
Mit dem IT-Sicherheitsgesetz 2.0 wurde nun die gesetzliche Grundlage für ein neues, freiwilliges IT-Sicherheitskennzeichen geschaffen. Ziel der Kennzeichnung ist es, dem Verbraucher gegenüber für bestimmte Produktkategorien die IT-Sicherheit möglichst verständlich darzustellen. Ist das aber auch gelungen oder gibt es mal wieder „viel Lärm um nichts“? Der Artikel versucht hierzu eine Einschätzung zu geben.
Ausgabe 115
(Juni 2021)
Unhackbare Systeme? Methoden und Probleme der IT-Hochsicherheit
(M. Joos)
Hochsichere Systeme zu entwickeln ist sehr aufwendig, für manche Umgebungen aber unabdingbar. Mit technischen und organisatorischen Maßnahmen versucht man daher, fernab der eigentlichen Softwaresicherheit ein höheres IT-Sicherheitsniveau zu gewährleisten. Der Artikel gibt Einblicke in die Welt der IT-Hochsicherheit.
FragAttacks: Auswirkungen und Schutzmaßnahmen
(M. Weber)
Trotz vieler Verbesserungen bei der Sicherheit von drahtlosen Netzwerken, gelang es Sicherheitsforschern kürzlich drei Schwächen im Design und in der Implementation aller aktuell im WLAN genutzten Verschlüsselungsverfahren zu finden. Diese Schwachstellen existieren bereits seit vielen Jahren. In dem Artikel werden die technischen Hintergründe vorgestellt und mögliche Gegenmaßnahmen aufgezeigt.

Ausgabe 114
(April 2021)
NAT Slipstreaming
(F. Kopp)
NAT ist eine alte Technologie, um durch gleichzeitige Verwendung den sich abzeichnenden Mangel an IPv4-Adressen bewältigen zu können. Leider ist aber die seit langem genutzte Software nicht frei von Schwachstellen. Mit einer JavaScript-Attacke können Dienste in lokalen Netzwerken von Angreifern aus dem Internet heraus verwendet werden. In dem Artikel wird dargestellt, wie der Angriff funktioniert und welche Techniken dabei benutzt werden.
Neues zur Draft ISO/IEC 27002:2021
(T. Gutsche)
Die ISO/IEC 27002, ein gewichtiger Teil der ISO 27er-Normenreihe, wird derzeit überarbeitet. Mit einer Veröffentlichung der finalen Version wird im Herbst 2021 gerechnet. Die neue Version könnte auch eine deutlich stärkere Rolle bei der Beurteilung bekommen, wie der oft zitierte „Stand der Technik“ auszulegen ist. Nähere Einschätzungen hierzu gibt der Artikel.

Ausgabe 113
(Februar 2021)
Augen auf im Datenverkehr
(F. Kopp)
Betreiber Kritischer Infrastrukturen sollen zukünftig verpflichtet werden, auch eine Angriffserkennung zu betreiben. Was solch eine Forderung konkret bedeuten kann und welche Vor- und Nachteile bestimmte IDS-Systeme bringen, wird unter Betrachtung des Gesetzentwurfs in dem Artikel „Augen auf im Datenverkehr“ vorgestellt.
SolarWinds – Angriff auf die Supply Chain
(D. Weidenhammer)
Der Traum eines jeden Hackers wird wahr, wenn es ihm gelingt, nicht nur einzelne Zielsysteme erfolgreich anzugreifen, sondern er sogar die Quellen einer weit verbreiteten Software so manipulieren kann, dass sich die Auswirkungen erst nach Verteilung dieser Software beim Kunden zeigen. Anlass genug, sich dies an einem konkreten Beispiel einmal genauer anzusehen.

Ausgabe 112
(Dezember 2020)
Automotive Security – Ein Überblick
(F. Gasteiger)
Die Automobilindustrie ist auch im IT-Bereich einem starken Wandel unterworfen. Die Realisierung vieler Funktionen in Software und die starke Vernetzung der Komponenten miteinander zwingen dazu, sich auch verstärkt mit IT- und Cybersecurity zu beschäftigen. Der Artikel zeigt hierzu die aktuellen Treiber und wesentlichen Entwicklungen auf.
Letzte Änderungen des IT-Sicherheitsgesetzes 2.0
(W. Wauschkuhn)
Nach gut fünf Jahren steht nun auch ein Update zum IT-Sicherheitsgesetz an. Der vorliegende Referentenentwurf vom 09.12.2020 weist bemerkenswerte Änderungen auf, die im Artikel kurz dargestellt und kommentiert werden.

Ausgabe 111
(Oktober 2020)
Zweieinhalb Jahre DSGVO – Was ist passiert?
(M. Pelikan)
Die Grundsätze für die Verarbeitung personenbezogener Daten sind in der DSGVO geregelt und dienen zusätzlich als Nachweis für ein erfolgreiches Datenschutzmanagementsystem. Der Artikel will aufzeigen, welche Aufmerksamkeit die DSGVO in den letzten Jahren gewonnen hat und wie mit Datenschutzverstößen umgegangen wurde.
Covid-19 und das Arbeiten im Homeoffice
(D. Weidenhammer)
Durch die Covid-19 Pandemie waren viele Unternehmen gezwungen, von einem Tag auf den anderen die benötigte IT-Infrastruktur für das sichere Arbeiten im Homeoffice bereit zu stellen. Der Artikel gibt einen Überblick der unbedingt umzusetzenden Sicherheitsmaßnahmen und wie die zuletzt deutlich gesteigerten Aktivitäten der Angreiferseite auf das Homeoffice einzuschätzen sind.

Ausgabe 110
(August 2020)
Quellcode-Analyse bringt Licht ins Dunkel
(D. Link)
Wir beschäftigen uns seit vielen Jahren mit der Auditierung von Webanwendungen und nutzen dazu die üblichen Scan- und Penetrationstests. Solche Tests sind aber abhängig von den gewählten Testparametern und den getesteten Programmpfaden, eine vollständige Testüberdeckung wird man kaum erzielen können. Deshalb präferieren wir eher Code-Reviews, deren Ergebnisse überaus ermutigend sind.
Wirtschaftsspionage - die unterschätzte Gefahr
(D. Weidenhammer)
Durch Einsatz von IT-gestützten Angriffsmethoden zur Wirtschaftsspionage lassen sich weltweit Konkurrenten ausspähen oder sogar direkt schädigen. Auch wenn es hierzu schon viele dokumentierte Vorfälle gibt, so scheint der Höhepunkt dieser Entwicklung noch lange nicht erreicht zu sein. Der Artikel untersucht den aktuellen Stand bei den Angreifern und zeigt mögliche Gegenmaßnahmen auf.

Ausgabe 109
(Juni 2020)
Cybersecurity in der Schutz- und Leittechnik
(Dr. S. Beirer)
Sicherheitsbehörden warnen immer wieder vor Angriffsversuchen auf ICS- und OT-Systeme in Kritischen Infrastrukturen. Auf Grund der anhaltenden Bedrohungslage sollen die regulatorischen Vorgaben umfassend aktualisiert und erweitert werden. In dem Artikel werden verschiedene Aktivitäten mit dem speziellen Fokus auf die Branche Energieversorgung vorgestellt.
Chinas Cybersecurity Gesetz
(Dr. J. Kopia)
In China wurde im Juni 2017 das Cyber Security Law (CSL) verabschiedet, ein Gesetz, welches China als weiteren Teil seiner umfassenden Cyber-Sicherheits-Strategie auf den Weg brachte. Für viele Unternehmen, die in China tätig sind, kann dies zeitaufwendige und kostspielige Auswirkungen haben, die in dem Artikel näher beleuchtet werden.

Ausgabe 108
(April 2020)
Wann kommt endlich die „richtige“ Corona-App?
(D. Weidenhammer)
Eine der wohl innovativsten Möglichkeiten zur Eindämmung der Corona-Pandemie wird unter dem Namen Corona-App seit Wochen heiß diskutiert. In dem Artikel wird der aktuelle Stand der Entwicklungen dargestellt, wobei insbesondere die zu beachtenden Sicherheitsaspekte eine wichtige Rolle spielen werden.
Fernzugriffe sicher gestalten
(D. Link, Y. Strela)
Viele Mitarbeiter sind wegen Corona aus Sicherheitsgründen ins Homeoffice ausgewichen. Bei aller gebotenen Eile für die Etablierung entfernter Zugänge ins Firmennetz dürfen die Informationssicherheitsanforderungen nicht außer Acht gelassen. Dies gilt insbesondere für Kritische Infrastrukturen und systemrelevante Dienste. Der Artikel zeigt die wichtigsten Zugangswege und deren Problematik auf.

Ausgabe 107
(Februar 2020)
Zur Anforderung der Belastbarkeit nach Art. 32 DS-GVO
(A. Brosche)
In der DS-GVO werden die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit aufgeführt. Daneben findet sich aber auch die neue Anforderung „Belastbarkeit der Systeme und Dienste“. Die englische Sprachfassung verwendet dafür den Begriff „resilience“. Der Artikel betrachtet diesen Begriff und seine Implikationen aus der Sicht der juristischen Kommentarliteratur.
Thread Management – nötiger denn je
(D.Weidenhammer)
Die Ausstattung mit Sicherheitskomponenten und auch die zugehörige Sicherheitsorganisation macht bei den meisten Unternehmen Fortschritte. Wie aber werden Informationen zu aktuellen Angriffsmustern umfassend gesammelt und verarbeitet? Das Management von Bedrohungen wird aus vielerlei Gründen zumeist noch unzureichend beachtet, dieser Artikel soll dazu einige Verbesserungen aufzeigen.

Ausgabe 106
(Dezember 2019)
IT-Sicherheitsgesetz 2.0 – Anomalieerkennung in KRITIS-Umgebungen?
(R. Stange)
Der als Version 2.0 bezeichnete Nachfolger des derzeit gültigen IT-SiG umfasst neue Anforderungen an Betreiber von Kritischen Infrastrukturen und liegt als Referentenentwurf seit dem Frühjahr 2019 vor. In diesem Artikel wollen wir einen interessanten Aspekt näher beleuchten: den verpflichtenden Einsatz von Systemen zur Angriffserkennung.
Sicherheitsrisiko Krankenhäuser?
(D.Weidenhammer)
Angriffe auf die IT-Sicherheit von Krankenhäusern häufen sich in letzter Zeit und zeigen deutlich die dort vorhandenen Schwächen bei Ausstattung und Administration auf. In dem Artikel sollen diese Schwächen aufgezeigt und der Ausblick in die Zukunft gewagt werden.

Ausgabe 105
(Oktober 2019)
App-Gefahren
(T. Mayer, M. Weber)
Mobile Apps sind immer stärker verbreitet, mit ihrer Sicherheit ist es aber nicht zum Besten gestellt. Worauf bei den unbedingt durchzuführenden Sicherheitstests für mobile Apps besonders geachtet werden muss, zeigt dieser Artikel. Dabei wird insbesondere auf den Einsatz von statischen und auch dynamischen Tests eingegangen.
Die B3S kommen voran
(D.Weidenhammer)
Das BSI-Gesetz sieht vor, dass sog. branchenspezifische Sicherheitsstandards (B3S) erarbeitet werden können, die eine Möglichkeit der Erfüllung der Anforderungen an die Umsetzung von §8a (1) BSIG darstellen. Der Artikel behandelt die aktuellen Fortschritte bei der Erarbeitung und Genehmigung der B3S aus verschiedenen Branchen und bewertet die gemachten Fortschritte.

Ausgabe 104
(August 2019)
Bedeutung von Emotet-Vorfällen für Energieunternehmen
(W. Wauschkuhn)
Der Artikel untersucht exemplarisch die Vorgehensweise beim Heise-Verlag nach Infektion durch die Schadsoftware Emotet. Zunächst wird der Umgang damit dargestellt und eine Einordnung in anerkannte Best Practices des Sicherheitsvorfallsmanagements vorgenommen. Die „lessons learned“ für EVUs und die daraus resultierenden Handlungsfelder und Schnittstellen werden im 2. Teil des Artikels dargestellt.
GUtARDig - Einblick in moderne Sicherheitsfunktionalitäten von Windows Betriebssystemen
(T. Mayer)
Microsoft ist als großer Softwarelieferant ohne Zweifel in der Verantwortung, auch Absicherungen vor Sicherheitsverletzungen seitens Drittanbieter-Software bereit zu stellen. Der Artikel betrachtet die hierzu unternommenen Anstrengungen und konzentriert sich insbesondere auf die Themen Virtualisierung und Cloud-Computing.

Ausgabe 103
(Juni 2019)
Digitale Souveränität oder: Warum Privatheit der Anfang aller Freiheit ist
(D. Fox)
Im Zusammenhang mit der Nutzung digitaler Medien fallen immer mehr personenbezogene und (vermeintlich) anonyme Nutzungsdaten an, durch die die Souveränität der Nutzer untergraben wird. Der Artikel versucht eine Definition der Voraussetzungen digitaler Souveränität zu geben und formuliert Anforderungen an digitale Dienste.
Entwurf zum IT-Sicherheitsgesetz 2.0
(D. Weidenhammer)
Das IT-Sicherheitsgesetz (IT-SiG) trat im Juli 2015 in Kraft und verpflichtete Betreiber kritischer Infrastrukturen ihre IT-Systeme und -Prozesse nach dem „Stand der Technik“ zu schützen. Nun plant die Regierung eine Weiterentwicklung zum IT-SiG 2.0. Der Artikel wirft einen Blick auf die im Referentenentwurf geplanten Neuerungen, die zumindest eine bestimmte Zielrichtung jetzt schon erkennen lassen.
Ausgabe 102
(April 2019)
Was taugen Cloudbasierte Sicherheitslösungen?
(R. Stange)
Cloudlösungen werden nicht mehr allein zur Auslagerung von Daten und Services genutzt, sondern bieten zunehmend auch eigenständige Sicherheitslösungen an. Sie dringen dabei in Bereiche vor, die bisher den lokal administrierten Sicherheitslösungen vorbehalten waren. Der Artikel möchte einen Einblick in die aktuellen, teils sehr unterschiedlich zu bewertenden cloudbasierten Sicherheitslösungen geben.
Datenschutz in den Wolken
(D. Ivanov, Dr. K. Tomov)
Dem Datenschutz ist auch in der Cloud ein hohes Maß an Aufmerksamkeit zu widmen. Der Artikel zeigt auf, wie die Norm ISO/IEC 27018:2019 als eine sehr hilfreiche Ergänzung / Unterstützung eines Datenschutz-Managementsystems verwendet werden kann und welche Verbindungen es zur DSGVO und der ISO / IEC 27002 gibt.
Ausgabe 101
(Februar 2019)
T-Sicherheitskatalog für Energieanlagenbetreiber veröffentlicht
(H. Fischer)
Der Artikel stellt die relevanten Inhalte des neuen Sicherheitskatalogs für Anlagenbetreiber vor und fasst die Änderungen gegenüber dem Konsultationsentwurf vom Januar 2018 zusammen. Es werden insbesondere die aus den Sicherheitsvorschriften resultierenden konkreten Verpflichtungen betrachtet.

Konferenzrückblick S4x19 Miami Beach
(Dr. S. Beirer)
Die S4x19 ist die weltweit führende Security-Konferenz für Leit- und Automatisierungstechnik und Operational Technology (OT). Der Autor gibt einen Überblick über die Konferenz-Tracks und die vorrangig technisch orientierten Vorträge.

Wirrklich eigenartig
(T. Mayer, D. Link)
Ein häufig anzutreffender Grund für Programmschwachstellen beruht auf der unterschiedlichen Handhabung von Datentypen. Einige gravierende Schwachstellen in Programmen sind z.B. auf abweichend interpretierte Datentypen zurückzuführen. In dem Artikel werden solche Probleme bei verschiedenen Programmiersprachen näher beleuchtet.
Ausgabe 100
(Dezember 2018)
Industrial Internet of Things (IIoT)
(D. Weidenhammer)
Der Artikel greift den zunehmenden Einzug von Internet-Technologien bei der Überwachung und Steuerung im industriellen Bereich auf. Konnte man das bisher schon im IT-Bereich antreffen, so ist nun auch der Bereich der Betriebstechnologie (OT) immer stärker davon betroffen. Es werden die damit verbundenen Sicherheitsprobleme mit einigen Lösungswegen aufgezeigt.
Industrielle Schadsoftwareangriffe – ein Rückblick
(H. Fischer, Dr. S. Beirer)
Der Artikel zeigt exemplarisch einige der gravierendsten Angriffe auf Kritische Infrastrukturen aus den letzten Jahren auf. Die Bandbreite dieser Angriffe ist erschreckend und sollte auch dem letzten Verantwortlichen klarmachen, dass zum Thema Sicherheit noch viel zu tun ist.
Ausgabe 99
(Oktober 2018)
Cloud und Security - nicht nur eine technische Herausforderung
(R. Stange)
Cloud-Lösungen setzen sich am Markt immer mehr durch. Ein guter Grund sich systematisch auch mit dem Thema Sicherheit zu beschäftigen. Der Artikel betrachtet dazu insbesondere die notwendigen organisatorischen Prozesse, um das eigene Sicherheitsniveau bei der Auslagerung von Daten/Diensten in die Cloud beizubehalten.
Umsetzung der Anforderungen der EU-DSGVO hinsichtlich Auftragsverarbeitung und der technischen und organisatorischen Maßnahmen durch den Einsatz von Maßnahmen nach ISO/IEC 27001:2013
(D. Ivanov, Dr. K. Tomov)
Nachdem die ganz große Aufregung um die DSGVO sich so langsam legt, kann man wohl zu einer fachlichen Aufarbeitung zurückkehren. Laut DSGVO sind personenbezogene Daten wichtige Informationen, die besonders zu schützen sind. Dies hat zur Folge, dass jede Organisation sich der Herausforderung stellen muss und den Schutz personenbezogener Daten sicherzustellen hat. Eine entsprechende Lösung bieten auch die internationalen Normen ISO/IEC 27001:2013 und ISO/IEC 27002:2013. Der Artikel will dazu die wesentlichen Punkte herausarbeiten.
Ausgabe 98
(August 2018)
SAP-Security (Teil-2)
(M. Monerjan)
Im Artikel „SAP-Security (Teil-1)“ wurde „SAP NetWeaver ABAP“ aus Sicherheitssicht näher betrachtet. Dabei lag der Schwerpunkt auf der grundlegenden Architektur sowie der Sicherheit auf Netzwerkebene. Im Folgeartikel wird das Augenmerk auf die SAP-Basis sowie die Sicherheit in der Anwendungsentwicklung gelegt.
Auf dem schwierigen Weg zur Digitalisierung im Gesundheitswesen
(W. Kettler)
Wie hat sich die Informationssicherheit – ggf. durch Standardisierungen und Gesetzgebungen initiiert – im Gesundheitswesen in den letzten Jahren entwickelt und welche Risiken und Bedrohungen gab es? Wie weit ist die Entwicklung / Einführung der Telematik-Infrastruktur? Auf diese Fragen wird der Artikel versuchen, Antworten zu geben.
Ausgabe 97
(Juni 2018)
SAP-Security (Teil-1)
(M. Monerjan)
In dem Artikel wird das weit verbreitete Kernprodukt „SAP NetWeaver ABAP“ (kurz: NW), auf dem ein Großteil der klassischen Funktionen eines SAP-Systems aufsetzt, betrachtet und auf grundlegende sicherheitskritische Aspekte bei dessen Einsatz eingegangen.
BDEW und OE Whitepaper Version 2.0 veröffentlicht
(K. Tidten, Dr. S. Beirer)
Das weitverbreitete Best-Practice Whitepaper zu „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ wurde kürzlich grundlegend überarbeitet und um technische und regulatorische Neuentwicklungen ergänzt. Der Artikel stellt die wesentlichen Neuerungen vor.
Ausgabe 96
(April 2018)
Aktueller Stand der KRITIS-Anforderungen bei Energieanlagenbetreibern
(H. Fischer, Dr. S. Beirer)
Laut aktuellem Entwurf des IT-Sicherheitskatalogs für Energieanlagen nach § 11 1b des EnWG unterliegen Betreiber von Energieanlagen demnächst ähnlichen Verpflichtungen wie jetzt bereits die Netzbetreiber. Der Artikel stellt die relevanten Inhalte des aktuellen Entwurfs kurz vor.
Synergien zwischen DSGVO und den Anforderungen an Kritische Infrastrukturen am Beispiel ÖPNV
(M. Luksch)
Anbieter von Dienstleistungen im öffentlichen Personennahverkehr (ÖPNV) erfüllen eine wichtige gesellschaftliche Aufgabe und unterliegen somit auch dem IT-Sicherheitsgesetz. Der Artikel bietet einen Überblick über die aktuelle Situation der Anbieter, basierend auf BSIG und DSGVO werden ausgewählte, sich aus diesen Gesetzen ergebende, Herausforderungen und effiziente Lösungsansätze aufgezeigt.
Ausgabe 95
(Februar 2018)
Auswirkungen von KritisV / DSGVO auf die Gesetzlichen Krankenversicherungen
(P. Penner)
Mit Inkrafttreten des zweiten Korbes der BSI-KritisV und der kommenden DSGVO (Datenschutz-Grundverordnung) entstehen für viele Unternehmen neue Pflichten und Anforderungen zur Informationssicherheit. Diese werden exemplarisch am Beispiel der gesetzlichen Krankenversicherer im Artikel untersucht.
Kurzrückblick S4x18 Miami Beach
(Dr. S. Beirer)
Aus einem Stelldichein von Insidern hat sich das SCADA Security Scientific Symposium in den letzten Jahren zur weltweit führenden Security-Konferenz für die Leit- und Automatisierungstechnik entwickelt. Der Autor ist seit mehreren Jahren dabei und gibt im Artikel seine Eindrücke von der diesjährigen Veranstaltung wieder.
Gefährdungen durch Man-in-the-Middle-Angriffe (Teil-2)
(T. Mayer)
Der Artikel beschäftigt sich mit MitM-Angriffen auf der Anwendungsebene. Schwachstellen in der Ausgangskonfiguration von Fernsteuerprotokollen wie RDP sowie Sicherheitslücken in Webanwendungen lassen sich durch geeignete Werkzeuge für Angriffe ausnutzen – und das nahezu vollständig automatisiert und kaum zu entdecken.
Ausgabe 94
(Dezember 2017)
Cyber Security Economics
(Dr. S. Klinger)
Der Artikel nähert sich der Problematik der als unzureichend empfundenen Informationssicherheit von einer eher wirtschaftswissenschaftlichen Seite. Es wird u.a. aufgezeigt, welche ökonomischen Prinzipien die effektive Umsetzung von Sicherheitsmaßnahmen erschweren.
Neue Version der ISO/IEC 27019
(Dr. S. Beirer)
Im November diesen Jahres wurde eine vollständig überarbeitete Version der "ISO/IEC 27019:2017(E) Information security controls for the energy utility industry" veröffentlicht, deren Neuerungen in dem Artikel vom Norm-Editor selber vorgestellt werden.
Gefährdungen durch Man-in-the-Middle-Angriffe
(T. Mayer)
Es wird ein umfassender Überblick über Angriffsmöglichkeiten zum Belauschen der Kommunikation im Netzwerk gegeben. Insbesondere im Kontext unzureichend verschlüsselter Verbindungen und moderner Authentisierungsverfahren ist auch vergleichsweise alten Angriffstechniken wieder eine erhöhte Aufmerksamkeit zu widmen.
Ausgabe 93
(Oktober 2017)
„Stand der Technik“ bei der Umsetzung von Sicherheitsmaßnahmen“
(R. Gundlach)
Der Artikel gibt Netzbetreibern Strom / Gas Hilfestellung bei der individuellen Bestimmung des „Standes der Technik“ und erläutert anhand ausgewählter Technologiefelder Beispiele zur Umsetzung von Sicherheitsmaßnahmen für Systeme der Informations- und Kommunikationstechnik (IKT) des Netzbetriebs.
Auswirkungen der EU-DSGVO auf ein ISMS nach ISO/IEC 27001:2013
(Dr. K. Tomov)
Es werden die Auswirkungen der DSGVO praxisnah für Informationsmanagementsysteme näher betrachtet. Dabei wird eine Übersicht zu Anforderungsbereichen der DSGVO und möglichen Umsetzungsbeispielen gegeben, um diese mit den integrierbaren Anforderungen / Maßnahmen der ISO/IEC 27001:2013 abzugleichen.
Ausgabe 92
(August 2017)
Wer kennt den „Stand der Technik“?
(D. Weidenhammer)
Auf den „Stand der Technik“ wird zwar oft referenziert, nun auch beim IT-Sicherheitsgesetz (ITSiG), aber niemand scheint zu wissen, was das genau ist. Nicht nur Unternehmen, sondern auch Berater/Auditoren tun sich aktuell schwer mit klaren Aussagen zu diesem wichtigen Thema. Der Artikel versucht etwas Klarheit in das Dunkel zu bringen.
Das Vertrauensdienstegesetz ist endlich verabschiedet
(U. Emmert)
Das nun verabschiedete Vertrauensdienstegesetz löst das deutsche Signaturgesetz ab. Firmen, Behörden und Bürger sollen damit in der Lage sein, Dokumente in der gesamten EU elektronisch zu unterzeichnen und zu zertifizieren. Hintergründe und Vorbehalte gegenüber dem ursprünglichen Entwurf werden im Artikel näher beleuchtet.
Ausgabe 91
(Juni 2017)
Prävention statt Reaktion
(A.Zang, F. Dimmendaal, A. Altena)
„Proaktives statt reaktives Handeln“ ist ein Vorgehen, das gesetzlich und in der Normenwelt immer klarer spezifiziert ist. Solch ein auf die Ansprüche eines Unternehmens ausgerichtetes Managementsystem inkl. Risikomanagement wird in dem Artikel aufgezeigt.
Umsetzung der europäischen NIS-Richtlinie - Auswirkungen auf Betreiber Kritischer Infrastrukturen
(R. Gundlach)
Im April 2017 wurde durch den Deutschen Bundestag das Gesetz zur Umsetzung der EU-Richtlinie 2016/1148 „Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ - kurz: NIS-RL beschlossen. Der Artikel stellt die wichtigsten Auswirkungen auf deutsche Gesetze dar und kommentiert sie.
Verbotene Früchte
(T. Mayer)
Im Security Journal #90 wurde die Übernahme einer Windows Netzwerkumgebung mit einem infizierten Rechner als Ausgangspunkt beschrieben. Im diesem Artikel wird nun das damals enthaltene Teilgebiet Rechteausweitung (Privilege Escalation) vertieft.
Ausgabe 90
(April 2017)
Reise durchs Firmennetz – Kompromittierung von Windows-Netzwerken
(T. Mayer)
Schon das Finden und Ausnutzen einer einzigen Schwachstelle kann es einem Angreifer ermöglichen, auch in ein ansonsten gut gesichertes  Netz einzudringen. Der Artikel behandelt ein mögliches Fallbeispiel mit der Übernahme eines Windows Nutzerkontos (ohne Administrationsrechte) in einer Active Directory Umgebung.
Neues zur EU-Datenschutzverordnung
(U. Emmert)
Die EU-Kommission hat bereits 2010 begonnen, eine neue Verordnung zum Datenschutz zu entwerfen, die direkt in allen Mitgliedsstaaten der Union gilt. Das deutsche Anpassungsgesetz wurde nun endlich auch vom Bundestag beschlossen. Der Artikel zeigt die Neuregelungen im Anpassungs- und Umsetzungsgesetz auf und bewertet diese.
Ausgabe 89
(Februar 2017)
Sichere Anbindung von Außenstationen - Möglichkeiten und Fallstricke
(J. Bär)
Betreiber von Energieversorgungsnetzen müssen die Anbindung zwischen  den Anlagen im Netz und der zentralen Netzleittechnik sicher gestalten. Dabei muss oft auf öffentliche Übertragungswege wie das Internet zurückgegriffen werden, meist gesichert durch Einsatz von VPN-Lösungen. Mit möglichen Schwachstellen hierbei  befasst sich dieser Artikel.
Dem Mirai-Entwickler auf der Spur
(D. Weidenhammer)
Das gefährliche Botnet Mirai wurde Ende 2016 zum ersten Male wahrgenommen, als die Website eines Sicherheitsspezialisten angegriffen  wurde. Dieser versuchte anschließend, den dafür Verantwortlichen auf die Spur zu kommen. Sein Vorgehen hierbei ist hoch interessant und liefert eine schöne Crime Story, die dieser Artikel aufgreift.
Ausgabe 88
(Dezember 2016)
Gefährdet IoT das Internet?
(D. Weidenhammer)
Musste man sich bisher beim Internet-of-Things (IoT) vorrangig um die Betriebssicherheit kümmern, so kam es jetzt durch Übernahme und Nutzung von IoT-Geräten zu DDoS-Angriffen mit einem enormen Störungspotential. Der Artikel will dazu die bisherigen Erkenntnisse und möglichen Gegenmaßnahmen aufzeigen.
Sichere E-Mail im Zeitalter hoher Mobility
(Zertificon Solutions GmbH)
Eigenes Interesse und eine Vielzahl von Verordnungen fordern bei brisanten Daten mindestens: Verschlüsselung nach dem Stand der Technik. Der Artikel behandelt zur Verschlüsselung eingesetzte Techniken und geht auf zentrale Lösungen mit Secure E-Mail Gateways ein.
Ausgabe 87
(Oktober 2016)
Unscharfe Prozesskommunikation – Fuzz-Testing IEC 60870-5-104
(M. Mahrla)
Der Artikel führt in neue Angriffsformen auf Netzwerkprotokolle der Prozesskommunikation ein und stellt ein Projekt vor, das beispielhaft Schwachstellen des Fernwirkprotokolls IEC 60870-5-104 mit einem neuen Fuzzing-Ansatz aufspüren soll.
Security Best Practices in Theorie und Praxis
(D. Weidenhammer)
Es werden die Ergebnisse einer Befragung von „Experten“ und „Nicht-Experten“ zu selber genutzten Sicherheitsmaßnahmen vorgestellt. Der Artikel wertet die Studie aus und versucht Antworten darauf zu finden, wie die Balance zwischen wichtigen Sicherheitsmaßnahmen und der notwendigen Nutzerakzeptanz besser herzustellen sein könnte.
Ausgabe 86
(August 2016)
Neues Signaturrecht seit 1.7.2016
(U. Emmert)
Der Artikel geht auf die wichtigsten Neuerungen wie internationale Vereinheitlichung und neue Möglichkeiten durch Fernsignierung und qualifizierte elektronische Siegel ein.
Messung der operativen Ef-fektivität eines (integrierten) Management Systems
(Dr. K. Tomov)
Die Einführung eines (integrierten) Management-Systems für die Steuerung und kontinuierliche Verbesserung von ITK-Unternehmen erfordert auch die betriebliche Effizienz der ange-wandten Maßnahmen messen zu können. Der Artikel schlägt einen in unseren Projekten erprobten Effektivitätsmessungsansatz vor.
Ausgabe 85
(Juni 2016)
Konkretisierungen zum IT-Sicherheitsgesetz und zum IT-Sicherheitskatalog
(R. Gundlach)
Die Vorgaben aus IT-Sicherheitsgesetz und IT-Sicherheitskatalog wurden zuletzt durch die sog. Kritisverordnung, ein Zertifizierungsschema für EVUs und weitergehende Informationen durch BSI und BNetzA ergänzt. Der Artikel stellt die zuletzt verabschiedeten gesetzlichen Neuerungen und Konkretisierungen aus Sicht der EVUs dar.
Revisionssichere Digitalisierung, neue GoBD und EIDAS-Verordnung
(U. Emmert)
In 2015 ist die neue GoBD in Kraft getreten, damit wurden die Anforderungen an die Revisionssicherheit verschärft. Zur langfristigen Sicherung von digitalen Unterlagen sind zudem neue Dienste vorgesehen, die mit kryptographischen Mitteln arbeiten. Der Artikel greift die wichtigsten Punkte hierzu auf.
Java Serialization
(J. Barg)
Serialisierung ist eine insbesondere bei Java verwendete Technik, mit der Objekte zum Datenaustausch in eine Byte-Sequenz umgewandelt werden. Werden diese Daten am Zielsystem jedoch nicht ausreichend geprüft, entstehen Angriffsmöglichkeiten. Der Artikel beschreibt Angriffstechniken und zeigt Gegenmaßnahmen auf.
Ausgabe 84
(April 2016)
S4x16 Miami – ein Kurzrückblick
(Dr. S. Beirer)
Die S4 ist eine der weltweit führenden, eher technisch orientierten Security-Konferenzen für die Leit- und Automatisierungstechnik. In dem Artikel gibt ein Teilnehmer einen kurzen Überblick über Ablauf und Inhalte der Veranstaltung in den USA.
OSCP/OSCE-Zertifizierung als Penetration Testerug
(J. Barg)
Für jeden Pentester erstrebenswert  sind die Zertifizierungen der Firma Offensive Security. Diese stellen die Teilnehmer während Laborphase und Examen vor äußerst realistische und anspruchsvolle Aufgabenstellungen. Diese Komplexität wird in dem Artikel an einigen Beispielen exemplarisch vorgestellt.
Ausgabe 83
(Februar 2016)
Auto-Mobiles Internet
(G. Domhan)
In Fortsetzung des Artikels aus Security Journal #81 zur zunehmenden (lokalen) Vernetzung im Fahrzeugbereich beschäftigt sich dieser Beitrag mit den immer weiter verschmelzenden Techniken von lokalen automobilen Netzwerken mit Standard-PC-Komponenten und den additiven Anschlussmöglichkeiten an das Internet.
Bug-Hunting beim HP Data Protector
(J. Barg)
Im Rahmen eines Kunden-Audits zum HP Data Protector konnten wir Erfahrungen sammeln, welche Tücken auch bereits lange eingeführte Software beherbergen kann und wie der Hersteller mit Meldungen hierzu umgeht. Der Artikel beschreibt exemplarisch das Sicherheitsproblem und den zeitlichen Ablauf der Herstellerreaktionen.
Ausgabe 82
(Dezember 2015)
Das "Tor" in die Tiefen des Internets
(D. Weidenhammer)
Der Artikel befasst sich mit den suspekten teils kriminellen Teilen des Internets. Ausgangspunkt für deren Entstehung war der Wunsch nach Anonymität im Internet, realisiert durch das Tor-Netzwerk. Wie sicher ist nun Tor, welche Schwachstellen gibt es und welche Wege führen in die Tiefen des Internets, darauf gibt dieser Artikel einige Antworten.
Storage for Cloud
(Dr. J. Bücking)
Die Übermittlung von Firmendaten in die Cloud bedarf stets einer rechtlichen Legitimation, insbesondere wenn es um die Übermittlung in unsichere „Drittstaaten“ geht. Der Artikel zeigt einen Weg auf, wie man nach dem Aus für „Safe Harbor“ dieser Problematik entgehen und ein angemessenes Schutzniveau gewährleisten kann.
Ausgabe 81
(Oktober 2015)
Sicherheit in automobilen Bus-Systemen
(G.Domhan)
Mit zunehmender Nutzung von IT-Komponenten in Automobilen hat auch diese Branche mit einhergehenden Sicherheitsproblemen zu tun. Der Artikel gibt eine Übersicht über die eingesetzten Technologien und deren Schwachpunkte und zeigt auf, welche Risiken die zunehmende Vernetzung im Fahrzeugbereich nach sich zieht.
Folgen des EuGH-Urteils zur Ungültigkeit des Safe-Harbor-Abkommens mit den USA
(Dr. J. Bücking)
Der Artikel untersucht zunächst die bisher gewohnte Praxis und behandelt dann die absehbaren Auswirkungen des Urteils. Dieses dürfte weitreichende Konsequenzen bei Cloud Service Providern, Internet-Unternehmen und auch bei sozialen Netzwerken wie Facebook haben.
Ausgabe 80
(August 2015)
IT-Sicherheitsgesetz und IT-Sicherheitskatalog für Energienetze
(R. Gundlach, F. Breitschaft)
Der Artikel stellt nach Vorliegen von IT-Sicherheitsgesetz und IT-Sicherheitskatalog die relevanten Inhalte der Vorschriften und insbesondere die Anforderungen für Energienetzbetreiber an die aufzubauenden Managementprozesse zur Informationssicherheit vor.

Sichere Integrationsinfrastruktur – Maßnahmen in einem konkreten Szenario
(Dr. S. Klinger)
Nachdem zuvor ein Überblick über Sicherheitsaspekte einer Integrationsinfrastruktur gegeben wurde, behandelt dieser Folgeartikel die verschiedenen Herausforderungen der Absicherung in einer komplexen Service Orientierten Architektur (SOA) anhand eines konkreten Szenarios und stellt geeignete Maßnahmen vor.


Sicherheit von Android TLS-Implementierungen

(J. Barg)
Das Trust-System von TLS-Zertifikaten enthält architekturbedingte Schwächen, die von Softwareentwicklern zu beachten sind. Der Artikel geht speziell auf die Implementierung von TLS-Anfragen in Java bzw. Android ein und erläutert, wie diese anhand von TLS-Pinning-Konzepten abgesichert werden können.

Ausgabe 79
(Juni 2015)
IT-SiG verabschiedet – was kommt auf uns zu?
(D. Weidenhammer)
Mit dem IT-Sicherheitsgesetz soll eine deutliche Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden. Der Artikel untersucht, wie dieses Gesetz einzuschätzen ist und welche Hürden bei der Umsetzung zu überwinden sein werden.
Sichere Integrationsinfrastruktur – der Einstieg
(A. Gilmer)
Viele Unternehmen setzen bereits heute bei der engen Vernetzung ihrer Systeme/Prozesse auf eine Integrationsplattform. In dem Artikel wird zunächst auf Grundlagen eingegangen, um die damit verbundenen Herausforderungen – insbesondere auch bei der Informationssicherheit - zu beschreiben.
Ausgabe 78
(April 2015)
Sicherheitsprüfungen bei Beschaffung und Betrieb von PDV-Systemen
(S. Krause)
Der Artikel zeigt auf, wie die Berücksichtigung von IT-Sicherheitsaspekten bereits bei der Konzeption und Beschaffung von PDV-Systemen zur Erhöhung des Sicherheitsniveaus beitragen kann und wie deren Einhaltung sinnvoll zu prüfen ist.

Sicheres Betreiben von Software-defined Networking (SDN)
(M. Sickert)
In Fortsetzung des Artikels aus dem Security Journal #77 wird der Aspekt der IT-Sicherheit beim Betrieb eines SDN genauer betrachtet. Es soll demS Leser nahe gebracht werden, mit welchen Sicherheitsproblemen er zu rechnen hat und wie diesen zu begegnen ist.

Neue Vorgaben der Finanzverwaltung für die IT-Compliance
(U. Emmert)
Der Artikel behandelt die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“, die kürzlich in Kraft getreten sind.

Ausgabe 77
(Februar 2015)
Prüfung von Netzwerkkomponenten mittels Fuzzing
(M. Rahnefeld)
Eine interessanteste Methode zur Schwachstellensuche stellt das Fuzzing dar, bei dem mit mehr oder minder zufällig erzeugten Daten die Robustheit von Systemen getestet wird. Hierauf wird in dem Artikel unter besonderer Berücksichtigung des Tools Scapy“ eingegangen.
Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)
(M. Sickert)
Software-defined Networking scheint die vielversprechendsten Lösungen für mehr Flexibilität und Agilität im Netzverkehr bereitzustellen. Ob es sich hierbei nur um den Hype einer neuen Netzarchitektur oder doch um eine zukunftsträchtige Lösung handelt, will der Artikel beleuchten.
Ausgabe 76
(Dezember 2014)
Sichere Systeme – Security beim Hardwaredesign
(G. Domhan)
Der Artikel befasst sich mit der Sicherheitsproblematik bei Hardwaresystemen zur Automatisierung und Steuerung von Prozessen. Vorgehensmodelle, aber auch Dinge, die bei der Entwicklung und Produktauswahl beachtet werden sollten, werden ausführlich behandelt.
Das Ende der Ära von SSLv3
(M. Mahrla)
SSL bildet seit den 90-er Jahren das Rückgrat einer sicheren Übertragung von Daten im Internet. Der Artikel stellt die wesentlichen Angriffe aus den letzten Jahren vor und fasst die daraus resultierenden Erkenntnisse für zukünftige Sicherungsprotokolle zusammen.

Ausgabe 75
(Oktober 2014)
eHealth – Der „Neue Markt“ für Cyber-Kriminelle?
(W. Kettler)
Anforderungen, die Versorgungsqualität zu steigern und gleichzeitig die Kosten zu senken, stellt gerade die IT im Gesundheitswesen vor immer neue Herausforderungen. Der Artikel analysiert den aktuellen Stand hierzu und geht auf geplante Verbesserungen durch eine sichere Telematik-Infrastruktur ein.
Gefährliche Dinge(r) im Internet-of-Things?
(D. Weidenhammer)
Intelligente „Dinge(r)“, die untereinander oder auch mit anderen kommunizieren können, schicken sich an, das „Internet-of-Things“ zu bilden. In dem Beitrag wird untersucht: Wie sicher werden die genutzten Komponenten konzipiert, entwickelt und betrieben? Können sie externen Angriffen standhalten?

Ausgabe 74
(August 2014)
ICS-Schadsoftware Havex
(M. Mahrla)
Der Artikel geht genauer auf die Hintergründe der Schadsoftware Havex ein, die gezielt industrielle Steuerungssysteme angreift und vielerorts zu großer Besorgnis geführt hat. Neben einer Analyse der Schadsoftware wird auch eine kritische Bewertung der öffentlichen Diskussion hierzu vorgenommen.
Neuer Entwurf des IT-Sicherheitsgesetzes veröffentlicht
(F. Breitschaft)
Unsere erste Durchsicht des Entwurfs ergab einige wesentliche Punkte und Neuerungen gegenüber dem Entwurf der alten Legisla-turperiode insbesondere für Betreiber Kritischer Infrastrukturen. Diese Änderungen werden in dem Artikel kurz zusammengefasst.
Out-Of-Band-Management mit eingebauten Sicherheitsproblemen
(R. Werner)
Der Artikel fasst die interessanten Ergebnisse des Sicherheitsforschers Dan Farmer zur Sicherheit von integrierten Managementlösungen zusammen und gibt Hinweise, wie eine sichere Umsetzung eines OOB-Managements aussehen könnte.
Ausgabe 73
(Juni 2014)
Infotag Systemintegration für Netzbetreiber
(Dr. N. Milanovic, A. Gilmer)
Der Artikel gibt einen Überblick zu den Fachvorträgen eines kürzlich von uns durchgeführten Infotages. Themen waren Sichere Integration kritischer Betriebsprozesse, Technologieunterstützung, Chancen und Risiken der Integration sowie praktische Erfahrungen aus bereits durchgeführten Integrationsprojekten.
Auswirkungen der Änderungen von ISO 27001:2005 zu ISO 27001:2013
(K. Tomov)
Es werden die Änderungen der jüngsten Überarbeitung der ISO/IEC 27001:2005 zur ISO/IEC 27001:2013 beschrieben und wichtige Hinweise zum Umgang damit gegeben.

Ausgabe 72
(April 2014)
Heartbleed-Rückblick
(T. Gimpel / J. Barg)
Mit dem „Heartbleed“-Angriff ließen sich von allen OpenSSL-nutzenden Diensten Daten entlocken, die auch sensible Informationen enthalten konnten. Wegen der hohen Brisanz haben wir in dem Artikel eine genaue Analyse und eigene Tests auf Verwund-barkeit zusammengestellt.
Der integrierte Managementsystemansatz
(K. Tomov)
Ein IMS beinhaltet die Verfahrensweisen, die Prozesse und die korporativen Steuerinstrumente zur Integration von unterschiedli-chen Managementsystemen. Der Artikel zeigt die Entwicklung der letzten Jahre auf und gibt Hinweise zum sinnvollen Aufbau eines IMS.
Das E-Government-Gesetz
(U. Emmert)
Der Artikel zeigt auf, was sich mit dem stufenweise in Kraft tre-tenden E-Government-Gesetz des Bundes und den in der Folge zu ändernden Verwaltungsverfahrensgesetzen der Länder bei der elektronischen Kommunikation mit Behörden ändern soll.
Ausgabe 71
(Februar 2014)
IPsec versus SSL-VPN
(M. Mahrla)
Zur Sicherung von VPN-Verbindungen haben sich im Laufe der Zeit zwei Verfahren etabliert: IPsec und SSL-VPN. Der Artikel beleuchtet diese Situation und hat das Ziel, typische Fallstricke und eine unsichere Konfiguration beim Einsatz eines VPNs zu vermeiden.
Sicherheitsbetrachtungen zu SaaS
(D. Weidenhammer)
Gewachsener Kostendruck bei den Unternehmen und die Verfüg-barkeit ausreichender Performance machen Cloud-Angebote ex-terner Dienstleister immer attraktiver. Der Artikel untersucht, ob die damit unweigerlich verbundenen Sicherheitsrisiken ausrei-chend beachtet werden.

Ausgabe 70
(Dezember 2013)
Sichere drahtlose Mesh-Netzwerke und mögliche Anwendungen
(A. Egners)
Drahtlose Übertragungstechniken schicken sich nun auch im LAN an, die alte Verkabelung ganz zu verdrängen. Der Artikel gibt eine Einführung in die Thematik der drahtlosen Mesh-Netzwerke, sowie deren Sicherheitsanforderungen und stellt eine umfassende Sicherheitsarchitektur aus der akademischen Forschung vor.
Informationssicherheit und Datenschutz im Gesundheitswesen – wer hat’s erfunden?
(W. Kettler)
Sensible medizinische Daten werden zunehmend über die zur Verfügung stehenden IT- und Kommunikationseinrichtungen an nachgelagerte Bearbeitungsinstanzen weitergeleitet. Der Artikel hat das Ziel, auf die damit verbundenen besonderen Herausforderungen einzugehen und Lösungsmöglichkeiten aufzuzeigen.

Ausgabe 69
(Oktober 2013)
Schwachstellen-Analyse mit OpenSSL
(M. Mahrla)
Nach einem Überblick über die Funktionsweise von SSL/TLS wird gezeigt, wie man mit dem Kommandozeilen-Interface von O-penSSL sowohl die eigene Konfiguration als auch die des Kommu-nikationspartners recht einfach auf Schwachstellen prüfen kann.
Einsatz von Softwarelösungen zum Aufbau und Betrieb eines ISMS
(P. Laufer / Dr. N. Milanovic)
Der Artikel zeigt auf, welche Anforderungen an ein unterstützen-des Tool zu stellen sind, das die Dokumentation und auch die Steuerung eines ISMS zu leisten in der Lage ist. Exemplarisch werden Aufbau und Funktionen eines von uns entwickelten Tools vorgestellt.

Ausgabe 68
(August 2013)
Analyse einer Android-Malware
(R. Werner)
Am Beispiel einer aktuellen Android-Malware wird gezeigt, wie eine Schadsoftware-Analyse aussehen könnte und welcher Aufwand dafür anzusetzen ist.
Sichere Prozessintegration in „Smart“-Infrastrukturen
(Dr. N. Milanovic)
In dem Artikel wird untersucht, welche Softwarearchitekturen und Technologien sowie am Markt verfügbare Middleware-Produkte eine sichere Kommunikation und Integration in künftigen „Smart“-Infrastrukturen unterstützen könnten.

Ausgabe 67
(Juni 2013)
Internet Census 2012 – Eine Sicherheitsanalyse
(D. Weidenhammer)
Kürzlich erschien der Bericht eines anonymen Autors, der sich mit der „Vermessung“ des Internets und der Suche nach Sicherheitslücken beschäftigte. Über Vorgehensweise und erzielte Ergebnisse wurde seitdem heiß diskutiert und deshalb in diesem Artikel auch aufgegriffen.
Gleichstellung des Beweisrechtes von elektronischem Dokument und Papier durch das E-Justiz-Gesetz
(U. Emmert)
Der Bundestag hat kürzlich das Gesetz über die Förderung des elektronischen Rechtsverkehrs mit den Gerichten verabschiedet, das wesentliche Bedeutung für den gesamten deutschen Rechtsverkehr haben dürfte. Der Artikel beschäftigt sich mit den Auswirkungen für Unternehmen und stellt den geplanten zeitlichen Ablauf dar.
Ausgabe 66
(April 2013)
Role-Based Access Control - Umsetzung innerhalb der IEC 62351-8
(R. Gundlach)
In Fortsetzung des Artikels aus #65 wird die Thematik „Role-Based Access Control - Umsetzung innerhalb der IEC 62351-8“ in der Stations- bzw. Prozessautomatisierung von Energieversorgungseinrichtungen weiter vertieft.
DDoS-Attacken werden immer gefährlicher
(D. Weidenhammer)
Durch  ausgeklügelte neue Angriffstechniken und hohes Bedrohungspotential gerade durch verteilte DDoS-Attacken ist diesem Thema mehr Aufmerksamkeit zu widmen, wozu dieser Artikel beitragen soll.
Ausgabe 65
(Februar 2013)
Sichere Softwareentwicklung und Scrum
(Dr. N. Milanovic)
In dem Artikel wird untersucht, inwiefern eine sichere Softwareentwicklung mit Scrum möglich ist. Dazu werden praxisnahe Probleme identifiziert und zusammen mit Empfehlungen für ihre Beseitigung dargestellt.
Konferenzrückschau S4x13
(Dr. S. Beirer)
Aus  Sicht  eines  Teilnehmers werden die interessantesten Eindrücke der weltweit führenden Leittechnik -Sicherheitskonferenz  S4x13 („SCADA Security Scientific Symposium“) geschildert.
AAA-Funktionen und RBAC in Prozesssteuerungssystemen
(R. Gundlach)
Zugriffe auf Komponenten der Prozessdatenverarabeitung (PDV) müssen aus Sicherheitsgründen authentifiziert und autorisiert werden. Der Artikel beschreibt, welche Funktionen innerhalb einer IT-Sicherheitsstrategie benötigt werden und berücksichtigt dabei auch die spezifischen Belange solcher Umgebungen.
Ausgabe 64
(Dezember 2012)
Datenschutzkonforme Archivierung in der Cloud
(U. Emmert)
Unter den Diensten, die man per Cloud anbieten kann, stellt die Verlagerung der revisionssicheren Archivierung von Geschäftsdokumenten eine neue Variante dar. Der Artikel beschäftigt sich mit den nicht uninteressanten rechtlichen Aspekten solcher Lösungen.
Passen die Passwörter noch?
(D. Weidenhammer)
Die Mehrfachverwendung von Passwörtern, gerade im Internet, stellt mittlerweile nicht nur im privaten Bereich eine große Gefahr dar. Der Artikel geht auf aktuelle Techniken zur Kompromittierung von Passwörtern ein und zeigt Gegenmaßnahmen auf.
Ausgabe 63
(Oktober 2012)
Möglichkeiten der Prüfung von Netzwerkkomponenten
(M. Rahnefeld)
Der Artikel gibt zunächst einen Überblick über unterschiedliches Prüfungsvorgehen und geht anschließend gezielt auf die Anwendung von unscharfen Testmethoden wie Fuzzing-Techniken ein.
Einsatz von ITIL im Umfeld der Prozessdatenverarbeitung
(A. Berndt)
Der Artikel zeigt auf, wie Fragestellungen zur Informationssicherheit auch in die Betriebskonzeption einfließen können und wie die Orientierung an einem De-facto-Standard wie ITIL dabei helfen kann.
Ausgabe 62
(August 2012)
Verfügbarkeitsanalyse von Service-orientierten Architekturen
(Dr. N. Milanovic)
Der Autor stellt eine Methode zur Evaluierung der Geschäftsprozess- und Serviceverfügbarkeit in einem SOA-System vor. Mithilfe dieser Methode kann die Verfügbarkeit komplexer Prozesse effizienter und präziser als bisher evaluiert werden.
Der Handel mit Schwachstellen – ein lukrativer Markt
(D. Weidenhammer)
In den letzten Jahren hat sich ein lebhafter Markt zum An- und Verkauf von Schwachstellen gebildet. Dies führt zu einer erhöhten  Gefährdungslage für Unternehmen und auch Privatpersonen, wie der Artikel aufzeigt.
Ausgabe 61
(Juni 2012)
Security Compliance Manager – Härtung mit System (P. Laufer)
Trotz noch so guter Perimetersicherung darf die Härtung schutzbedürftiger Systeme im internen Netz nicht vernachlässigt werden. Hierzu werden die Möglichkeiten, die der von Microsoft kostenlos zur Verfügung gestellte Security Compliance Manager liefert, vorgestellt.
Rechtliche Fallstricke bei “Bring Your Own Device” (U. Emmert)
Seit dem Siegeszug von Smartphones und Tablets ist BYOD in aller Munde. Der Artikel beleuchtet die damit verbundenen rechtlichen Schwierigkeiten, insbesondere unter Beachtung der Novelle des Telekommunikationsgesetzes und gibt Empfehlungen dazu.
Ausgabe 60
(April 2012)
Erstellung szenariobasierter Notfallkonzepte (H. Diening)
Der Artikel gibt eine Einführung in die wesentlichen Phasen des Business Continuity Managements und beschreibt Möglichkeiten der praktikablen und ressourcenschonenden Herangehensweise bei der Erstellung von modular erweiterbaren Notfallkonzepten.
Sicherheit in Datennetzen auf der OSI-Schicht 2 - Teil 2 (R. Gundlach)
Dieser zweite Teil nimmt Bezug auf die Sicherheit bei Layer-2-Protokollen, die für das Funktionieren einer komplexen geswitchten Struktur nötig (STP/RSTP) oder zumindest nützlich (VTP) sind.
Ausgabe 59
(Februar 2012)
Project Basecamp - ein drastischer Weckruf für die Leittechnik
(Dr. S. Beirer)
Aus Sicht eines Teilnehmers werden die wichtigsten Ergebnisse des SCADA Security Scientific Symposiums zusammen gefasst und auch die heftigen Kontroversen unter den Teilnehmern über das fragwürdige Sicherheitsniveau in der Leittechnik kommentiert.
Source Code Scanner - sinnvoll einsetzbar? (M. Rahnefeld)
Der Artikel widmet sich dem aktuellen Stand der automatisierten Überprüfung auf der Ebene des Quellcodes von Webanwendungen und bezieht sich hierzu auf unsere Erfahrungen aus einigen Produktevaluierungen und Projekteinsätzen.
Nessus Version 5 mit interessanten neuen Features (S. Krause)
Vorstellung der von Tenable kürzlich vorgelegten Version 5 des Schwachstellenscanners Nessus. Der Scanner prüft auf nunmehr fast 50.000 bekannte Schwachstellen – auch SCADA-Systeme.
Ausgabe 58
(Dezember 2011)
USB = Universal Security Backdoor (D. Weidenhammer)
Der Artikel beschäftigt sich mit der weiter ansteigenden Gefahr durch manipulierte USB-Geräte. Neben altbekannten Manipulationsmöglichkeiten werden auch neue Angriffe aufgezeigt, die ein hohes Missbrauchspotential erwarten lassen.
Sicherheit in Datennetzen auf der OSI-Schicht 2 (R. Gundlach)
Viele Angriffe zielen auch heute noch auf interne LAN-Strukturen mit den Komponenten Router, Hosts oder dem Netzwerk an sich. Der Artikel beschreibt einige der Risiken und zeigt mögliche Gegenmaßnahmen bezogen auf die Switching-Infrastruktur auf.
Robuste IT-Systeme in der industriellen IT (Dr. K. Kamphenkel)
Für die industrielle IT werden grundlegende Prinzipien und Betrachtungsweisen zur Gewährleistung eines weitgehend störungsfreien Betriebs, der „Cyber-Robustheit“, zusammenfassend skizziert.
Ausgabe 57
(Oktober 2011)
Vom Umgang mit tanzenden Schweinen (P. Laufer)
Es wird aufgezeigt, warum der Schlüssel für den Entwurf, die Auswahl und die Effizienz von organisatorischen Sicherheitsmaßnahmen in einer guten Kooperation zwischen Anwender und Unternehmen zu suchen ist.
Einführung einer Cloud-Lösung (M. Lukasczyk)
Der Artikel ist ein Auszug aus der Master-Thesis des Autors und behandelt insbesondere Fragen zu Sicherheitsrisiken bei der Einführung von Cloud-Lösungen.
Ausgabe 56
(August 2011)
Tanzende Affen und andere Schwachstellen in SIMATIC S7-Steuerung (Dr. S. Beirer)
Eine Vielzahl von kürzlich identifizierten Schwachstellen in Siemens S7-Steuerungskomponenten macht klar, dass auch Automatisierungskomponenten aus der SPS-Familie anfällig sind. In dem Artikel werden die neuesten Entwicklungen hierzu aufgezeigt.
Sicherheitsbetrachtungen zur Virtualisierung bestehender IT-Umgebungen (Dr. T. Johr)
Unter welchen Umständen ist eigentlich der Einsatz von Virtualisierungslösungen auch aus Sicherheitssicht vertretbar? Dieser Artikel zeigt an einem fiktiven Beispiel die notwendigen Überlegungen, die bei einem Projekt im eigenen Hause vorzunehmen sind.
Ausgabe 55
(Juni 2011)
Sicherheit im Smart Metering (H. Diening)
Unter Führung des BSI wurde ein Schutzprofil nach den "common criteria" für Smart Meter (intelligente Stromzähler) entwickelt. Der Artikel beschreibt die wesentlichen Inhalte dieses Schutzprofils.
Rechtsfragen des Cloud-Computing (U. Emmert)
Die neue Technik des Cloud-Computing hat juristische Implikationen im Bereich des Vertragsrechts und insbesondere des internationalen Rechts, die dieser Artikel ausführlich behandelt.
Ausgabe 54
(April 2011)
Zunahme gezielter Angriffe - Anatomie des RSA-Hacks
(D. Weidenhammer)
Wegen der starken Zunahme gezielter Angriffe wird beispielhaft für die dabei verwendete Vorgehensweise der Einbruch auf Server des bekannten Sicherheitsunternehmens RSA aufgezeigt.
3-D-Secure – Die "neue" Sicherheit im Internet? (Dr. K. Kamphenkel)
Der steigende Kartenmissbrauch hat Kreditkartenorganisationen dazu bewogen, ein neues Authentifizierungsverfahren zu etablieren. Der Artikel wirft einen kritischen Blick auf das Verfahren 3-D-Secure.
Datenschutz bei Einführung von Voice over IP (U. Emmert)
Viele Unternehmen beschäftigen sich mit der Einführung von Voice-over-IP Lösungen. Der Artikel beleuchtet insbesondere die zu beachtenden datenschutzrechtlichen Aspekte vor einer Migration zu VoIP.
Ausgabe 53
(Februar 2011)
Stuxnet – Lessons learned? (Dr. S. Beirer)
Der Stuxnet-Wurm hat gezeigt, dass gezielte Angriffe auch auf vermeintlich gut abgeschottete Produktionssysteme durchaus machbar sind. Der Artikel zeigt auf, welche langfristigen Folgen der Vorfall für die Sicherheit in modernen Leittechniksystemen haben kann.
Strukturierter Aufbau von Sicherheitsrichtlinien (D. Weidenhammer)
Es wird aufgezeigt, wie die hierarchische Gliederung von Sicherheitsrichtlinien für ein Unternehmen aussehen sollte, welche Inhalte unbedingt enthalten sein müssen und welche verzichtbar erscheinen.
Ausgabe 52
(Dezember 2010)
Mobile Forensics (S. Krause)
In Fortsetzung des Artikels aus #51 werden die sachgerechte Vorgehensweise und in Frage kommende Tools bei der forensischen Analyse von mobilen Endgeräten wie z.B. Smartphones vorgestellt.
Standards und Verfahren für mehr Sicherheit im Software-Entwicklungsprozess (W. Kettler)
In Fortsetzung des Artikels aus #50 wird die Darstellung von sog. Reifegradmodellen behandelt, deren Ziel ist es, die internen Aktivitäten für mehr Sicherheit bei der Softwareentwicklung zu bewerten und hieraus Maßnahmen zur Verbesserung abzuleiten.
Ausgabe 51
(Oktober 2010)
Live Analyse im Rahmen der Sicherheitsvorfallbehandlung (S. Krause)
Der Artikel behandelt die Vorgehensweise zur Beweissicherung nach dem Auftreten von Sicherheitsvorfällen. Er gibt Hinweise zur sinnvollen Vorbereitung und geht insbesondere auf die digitale Spurensuche direkt im Arbeitsspeicher eines Systems ein.
ITIL und Informationssicherheitssysteme nach ISO 27001
(Dr. K. Kamphenkel)
Der Artikel versucht eine Übersicht über die Anstrengungen von staatlichen Behörden, Non-Profit-Organisationen oder Software-Herstellern und IT-Dienstleistern zu geben, nachhaltig Qualität und Sicherheit in den Prozess der Software-Entwicklung zu integrieren.
Ausgabe 50
(August 2010)
Aktuelle Sicherheitsbedrohungen in der Prozessleittechnik
(Dr. S. Beirer)
Es werden zwei aktuelle Ereignisse analysiert, die in fast schon dramatisch zu nennender Art und Weise aufzeigen, welche Konsequenzen Sicherheitslücken in der Prozessleittechnik haben können.
Standards und Verfahren für mehr Sicherheit im Software-Entwicklungsprozess (W. Kettler)
Der Artikel versucht eine Übersicht über die Anstrengungen von staatlichen Behörden, Non-Profit-Organisationen oder Software-Herstellern und IT-Dienstleistern zu geben, nachhaltig Qualität und Sicherheit in den Prozess der Software-Entwicklung zu integrieren.
Insider Threats – ausreichend beachtet? (D. Weidenhammer)
Recht dürftig nehmen sich immer noch die Maßnahmen gegen böswillige Insider aus. Der Artikel bewertet neueste Untersuchungen hierzu und beschäftigt sich mit Angreifern und auch Gegenmaßnahmen.
Ausgabe 49
(Juni 2010)
Der neue BSI-Baustein "Notfallmanagement" (H. Diening)
Der neue Baustein B 1.3 "Notfallmanagement" aus den Grundschutzkatalogen des BSI wird vorgestellt und bzgl. seiner möglichen Verwendung bewertet.
Return Oriented Programming vs. DEP (A. Schuster / T. Gimpel)
Es werden aktuelle Entwicklungen zur Problematik des Ausnutzens von gezielt herbei geführten Pufferüberläufen in Programmen behandelt und mögliche Gegenmaßnahmen aufgezeigt.
Ausgabe 48
(April 2010)
Mailarchivierung in Unternehmen (Dr. T. Johr)
Der Artikel zeigt die notwendigen Schritte zur Auswahl und Einführung eines Archivsystems für E-Mail auf und gibt zudem einen Überblick über hierfür relevante kommerzielle Lösungen.
Sicherheitsanforderungen im automatischen elektronischen Rechnungsaustausch (V. Scholz)
Der zunehmende elektronische Austausch von Rechnungsdaten hat große Auswirkungen auf die verwendete IT-Infrastruktur. Es wird anhand eines Anwendungsszenarios beschrieben, an welchen Stellen potenzielle Risiken lauern und wie diesen begegnet werden kann.
Ausgabe 47
(Februar 2010)
Neuer Standard für Hashfunktionen (K. Kamphenkel)
Der Artikel geht in einer kurzen Einführung zunächst auf die Bedeutung von Hashfunktionen ein. Anschließend wird ein Blick auf den laufenden Hashfunktionen-Wettbewerb der NIST geworfen.
Wie sicher sind Social Networks? (D. Weidenhammer)
Aus Sicherheitssicht interessiert besonders wie in Social Networks mit den Belangen von Privacy und Security umgegangen wird. Es wird dazu die bisherige Entwicklung solcher Networks aufgezeigt und unter Sicherheitsaspekten bewertet.

To top

Ausgabe 46
(Dezember 2009)
Risiken bei "Cloud Computing" (H. Diening)
Es werden kurz die Charakteristiken des Ansatzes zum Cloud Computing skizziert und dabei selbstverständlich das Hauptaugenmerk auf mögliche Risiken für die Informationssicherheit gelegt.
OWASP Top-10 nun mit Risk Rating (D. Weidenhammer)
Die neueste Top-10 Liste der OWASP wurde um den wichtigen Aspekt der Risikobewertung ergänzt. Der Artikel beschreibt die Schwachstellen und bewertet diesen neuen Ansatz zur Risikoeinstufung.
Ausgabe 45
(Oktober 2009)
Sicherheit im elektronischen Geschäfts- und Behördenverkehr
(Dr. T. Johr)
Die Übermittlung von vertraulichen Informationen über Netzwerkgrenzen hinweg kann auf unterschiedliche Arten gesichert werden. Der Artikel untersucht hierzu die Lösungen Virtuelle Poststelle, Internet E-Mail, ELSTER, DeMail und Internet-Brief der DPAG.
Adobe Flash und die Super Cookies (A. Schuster)
Um dem zustandslosen http-Protokoll Statusinformationen mitzugeben, werden z.B. Cookies genutzt. Mit den neu auftretenden Sicherheitsrisiken durch „Flash-Cookies“ beschäftigt sich dieser Artikel.
Juristische Fallstricke bei Scan-/Pentests? (D. Weidenhammer)
Unternehmen, die Scan-/Pentests anbieten, befanden sich schon immer in einer rechtlich schwierigen Situation. Auswirkungen und aktueller Stand zum sog. „Hackerparagraphen“ werden im Artikel näher untersucht.
Ausgabe 44
(August 2009)
Probleme im Zertifikatsmanagement der eGK (K. Kamphenkel)
Aktualität und Brisanz einer kürzlich gefundenen Sicherheitslücke rechtfertigen es, in dem Artikel einen kritischen Blick auf die komplexe Struktur der zu schaffenden Public-Key-Infrastruktur (PKI) zu werfen.
Sicherheit von Web-Applikationen (W. Kettler)
Komplexe Software ist auch immer fehleranfällig, aber muss das wirklich so sein? Der Artikel beleuchtet diese Problematik einmal aus der Sicht des Software-Entwicklers.
Ausgabe 43
(Juni 2009)
Die Bedeutung von E-Mail im Rechtsverkehr (Dr. J. Bücking)
Gegenstand des Artikels ist eine Vorstellung der rechtlich bedingten Notwendigkeiten, die in Bezug auf die Archivierung geschäftlicher E-Mails zu beachten sind.
Datendiebstahl – Studien und deren Erkenntnisse (D. Weidenhammer)
Es werden einige jüngst veröffentlichte Studien zu Datendiebstählen untersucht, wobei deren wesentliche Ergebnisse benannt werden, aber auch kritisch auf offensichtliche Qualitätsmängel eingegangen wird.
Ausgabe 42
(April 2009)
Die elektronische Gesundheitskarte (K. Kamphenkel)
Der Artikel beinhaltet eine genauere Betrachtung der Sicherheitsaspekte der Gesundheitskarte (eGK) und der von ihr untrennbaren IT-Infrastruktur.
Secure Mail Gateways – Praxis (Dr. T. Johr)
Basierend auf langjährigen Projekterfahrungen mit dem Einsatz von SMGWs werden die wichtigsten Planungsschritte beschrieben, die vor dem Beginn eines solchen Projektes zu beachten sind.

To top

Ausgabe 41
(Februar 2009)
Vorgehen bei Security Awareness-Kampagnen (J.-M. Marohn)
Der Artikel geht auf die Vorbereitung und praktische Durchführung von Security Awareness-Kampagnen ein. Neben der Grobplanung werden die passenden Module für das jeweilige Unternehmen vorgestellt.
Wie unsicher ist Online-Banking? (D. Weidenhammer)
Dieser Folgeartikel zur letzten Ausgabe nimmt sich nun der direkten Angriffsmöglichkeiten auf Bankkunden an. Es werden die gängigsten Angriffsformen vorgestellt und absehbare Entwicklungen aufgezeigt.
Ausgabe 40
(Dezember 2008)
Security Awareness - the next Generation (J.-M. Marohn)
Es wird die Systematik einer Security-Awareness beleuchtet, die die Angestellten zu Sicherheits-Mit-Arbeitern machen möchte. Dies gilt allgemein als der beste Schutz gegen Sicherheitsbedrohungen.
Wer schraubt da an den Aktienkursen? (D. Weidenhammer)
Die „Manipulation von Aktienkursen“ wird bisher kaum öffentlich thematisiert, obwohl vielfältige Angriffsmöglichkeiten existieren. Diese werden hier vorgestellt, verbunden mit Empfehlungen zur Abwehr.
Ausgabe 39
(Oktober 2008)
Sicherheitsfragen zum Einsatz von Skype (H. Diening)
Der Artikel greift eine der aktuell "heißesten" Anwendungen heraus und gibt Antworten auf Fragen zur Erkennung einer verborgenen Nutzung oder die mit einem Einsatz verbundenen Sicherheitsrisiken.
E-Mail-Archivierung / Vorratsdatenspeicherung (U. Emmert)
Hier wird einigen rechtlichen Aspekten der Informationstechnologie erhöhte Aufmerksamkeit geschenkt. Insbesondere die Vorratsdatenspeicherung wird ab 2009 genauer zu beobachten sein.
Ausgabe 38
(August 2008)
EU-Dienstleistungsrichtlinie (W. Kettler)
Der Artikel beleuchtet die Umsetzungsplanung der neuen EU-Dienstleistungsrichtlinie und nimmt insbesondere die vorgesehenen Sicherheitsmaßnahmen kritisch unter die Lupe.
Reglementierung der Internet-Nutzung (D. Weidenhammer)
Sicherheitsvorkehrungen bei der Internet-Nutzung im Unternehmen tangieren immer auch rechtliche Aspekte. In dem Artikel werden die wichtigsten Sachverhalte erläutert und durch Empfehlungen ergänzt.
Ausgabe 37
(Juni 2008)
OpenSSL und aktuelle Browser (Ralf Stange)
OpenSSL lieferte unlängst eines der gravierendsten Beispiele zum Thema Schlüssel-Kompromittierung. Deswegen greifen wir die Auswirkungen in diesem Artikel auf und beleuchten einige der Hintergründe.
Verschlüsselte E-Mails an Jedermann (Dr. T. Johr)
Der Artikel zeigt auf, welche Möglichkeiten es zur Sicherung von E-Mails gibt und wie Adressaten ohne eigene Sicherheitslösung trotzdem in den sicheren Austausch von E-Mails einbezogen werden können.

To top

Ausgabe 36
(April 2008)
Xen und VMware ESX (Dr. S. Beirer)
Es werden Sicherheitsaspekte der Rechnervirtualisierung am Beispiel der beiden führenden Technologien VMware ESX Server und Xen diskutiert.
Das Sicherheitsproblem Virenscanner (B. Fröbe)
Virenscanner sind in den letzten Jahren zunehmend selber das Ziel von erfolgreichen Angriffen geworden. Der Artikel zeigt die von Virenscannern selber verursachten Sicherheitsprobleme auf.
Ausgabe 35
(Februar 2008)
Online-Durchsuchung (D. Fox)
Der Artikel Die "Online-Durchsuchung" basiert auf einer Stellungnahme, die der Autor als sachkundige Auskunftsperson anlässlich der öffentlichen Anhörung des Bundesverfassungsgerichts erstellt hat.
PDF entmystifiziert (T. Gimpel)
Es wird dargestellt, warum PDF auch nicht sicherer als andere Dokumentenformate ist und der mitgelieferte Schutz des Dokumenteninhalts sich wohl eher gegen unbedarfte Angreifer richtet.
Ausgabe 34
(Dezember 2007)
SIM + SEM = SIEM? (D. Weidenhammer)
Um Sicherheitsinformationen (Logs, Events) sinnvoll auszuwerten, kommen SIEM-Tools in Mode. Der Artikel zeigt die aktuelle Entwicklung und benennt Stärken und Schwächen der verfügbaren Produkte.
Toolunterstützung beim Betrieb eines ISMS (H. Diening)
Der Artikel zeigt die Aufgaben von unterstützenden Tools für einen ISMS-Betrieb auf, spricht typische Probleme bei deren Einführung an und geht dabei auch auf zwei marktrelevante Produkte ein.
Ausgabe 33
(Oktober 2007)
Metrikbasiertes Patchen mit CVSS - Konzept mit Methode (D-J. Röcher)
Im dem Artikel wird eine Methodik zur Bewertung von Schwachstellen erläutert, die über verschiedene Metriken alle relevanten Aspekte berücksichtigt und so zu einer Verbesserung des Patchmanagement-Prozesses beitragen kann.
Biometrie auf die Finger geschaut (H. Diening)
Nach einer kurzen Übersicht über Funktionsweise und mögliche Angriffspunkte auf Biometrischen Verfahren werden beispielhaft konkrete Schwächen diverser Produkte aufgezeigt.
Ausgabe 32
(August 2007)
SAN Security (Dr. S. Beirer)
Storage Area Networks (SAN) speichern oft auch sensible Daten, deshalb sind Sicherheitsaspekte genau zu beachten. Im Artikel werden Sicherheitsbedrohungen und Gegenmaßnahmen dargestellt.
Flash Security Roundup (B. Fröbe)
Der Artikel beleuchtet Bedrohungen durch die Nutzung des Flash Players – mit Hinweisen für Anwender, IT-Administratoren und Betreiber von Webservern – und gibt Empfehlungen, wie diesen zu begegnet ist.

To top

Ausgabe 31
(Juni 2007)
Auswirkungen des neuen TMG (D. Weidenhammer)
Im März 2007 ist das neue Telemediengesetz (TMG). Über die wichtigsten Inhalte und die zu erwartenden Folgen für die Internetnutzung gibt der Artikel „Auswirkungen des neuen TMG“ Auskunft.
Mandatory Integrity Control (Friedwart Kuhn)
Microsoft hat sich bei Vista verstärkt der Integritätssicherung des Betriebssystems angenommen. Der Artikel „Mandatory Integrity Control“ beleuchtet, wie MIC funktioniert und ob es ausreichend ist.
Ausgabe 30
(April 2007)
Bluetooth Security (T. Gimpel, B. Fröbe)
Der Artikel gibt einen Überblick zu Funktionsweise und Sicherheitsmechanismen von Bluetooth und stellt die bisher bekannt gewordenen Sicherheitsprobleme und Angriffstechniken auf Implementierungen vor.
Sind Anti-Virus Lösungen am Ende? (D. Weidenhammer)
AV-Lösungen sind zunehmend überfordert durch neue Malware und professionellere Angreifer. Die bestehenden Probleme werden aufgezeigt und es wird ein Ausblick auf zukünftige Entwicklungen gegeben.
Ausgabe 29
(Februar 2007)
Vista auf Vista Security (B. Fröbe)
Microsoft selber bezeichnet Vista als das sicherste Betriebssystem aller Zeiten. Hieran gemessen werden die wichtigsten der sicherheitsrelevanten eingeführten Neuerungen vorgestellt und bewertet.
Voice over IP und Datenschutz (U. Emmert)
Bei VoIP sind nicht nur Kostenaspekte, sondern auch zahlreiche rechtliche Vorgaben zu beachten. Der Artikel benennt die die in Frage kommenden gesetzlichen Regelungen und gibt Empfehlungen hierzu.
Ausgabe 28
(Dezember 2006)
Bedrohungen der IT-Sicherheit 2006/2007 (D. Weidenhammer)
Es werden in einer Rückschau die wesentlichen Entwicklungen des Jahres 2006 analysiert und mit den vor einem Jahr prognostizierten Trends (siehe Security Journal #22) verglichen.
Metasploit Framework v3.0 (S. Beirer)
Das Erscheinen der Version 3.0 des Metasploit Frameworks bietet den Anlass, die Funktionsweise dieser Entwicklungsumgebung für Exploit-code vorzustellen und seine Mächtigkeit zu demonstrieren.
Ausgabe 27
(Oktober 2006)
AJAX – neue Sicherheitsprobleme mit Web 2.0 (W. Kettler)
Es wird eine Übersicht zu Web 2.0 gegeben und die Entwicklung und Arbeitsweise von Ajax vorgestellt. Danach werden die hiermit zu erwartenden Sicherheitsprobleme untersucht.
XSS 2.0 – neue Gefahren durch Javascript (B. Fröbe)
Neuere Techniken werden vorgestellt, mit denen sich Javascript „kreativ“ so nutzen lässt, dass der Webbrowser als Eingangstor ins Unternehmensnetz missbraucht werden kann.

To top

Ausgabe 26
(August 2006)
Business Continuity Planning (H. Diening)
Der Artikel gibt eine Einführung in die Thematik und beschreibt die wesentlichen Phasen für den IT-Bereich. Dabei geht er insbesondere auf die praktische Umsetzung und unterstützende Softwaretools ein.
Die TOP-100 Security Tools (D. Weidenhammer)
Es wird eine Auflistung von gebräuchlichen Tools zum Testen der IT-Sicherheit vorgestellt, die gerade in die Hände eines jeden Sicherheitsverantwortlichen gehören sollten.
Ausgabe 25
(Juni 2006)
Evaluierung von Web Application Firewalls (WAF) (F. Breitschaft)
Unter besonderer Berücksichtigung der Evaluierungskriterien des "Web Application Security Consortiums" werden die wesentlichen Anforderungen an WAFs vorgestellt und eine Marktübersicht gegeben.
Zunehmende Bedrohung durch Bot-Netze (T. Runge)
Als Beispiel einer ständig wachsenden globalen Bedrohung durch Malware werden technischer Stand und Angriffspotential von Bot-Netzen vorgestellt.
Ausgabe 24
(April 2006)
Zunehmende Kriminalisierung des Internet (D. Weidenhammer)
Das Zusammenspiel von Hacker Know-how und krimineller Energie, verbunden mit ausreichenden finanziellen Ressourcen, schafft ganz neue Bedrohungen für Unternehmen.
Windows Rootkits (B. Fröbe)
Darstellung eines der beliebtesten Hacker-Werkzeuge, das dazu dient, die Spuren eines widerrechtlichen Eindringlings vor aufmerksamen Nutzern oder der eingesetzten Sicherheitssoftware zu verbergen.
Ausgabe 23
(Februar 2006)
Enterprise Firewalls im Vergleich (M. Scheler)
Dieser Vergleich versucht, an konkreten Beispielen die Unterschiede verschiedener Firewall-Architekturen und die derzeit zu erwartenden Funktionen aktueller Firewall-Systeme aufzuzeigen.
Schutz kritischer Infrastrukturen (F. Breitschaft)
Neben einem Überblick über Aktivitäten und Rahmenbedingungen, die von staatlicher Seite an Unternehmen herangetragen werden, wird eine realistische Einschätzung der Kritis-Wirklichkeit gegeben.
Stellungnahme zur ISO 27001 Novellierung des BSI-GSHB (H. Diening)
Bewertung der Arbeiten des BSI zur Angleichung des GSHB an den internationalen Standard für Information Security Management Systeme (ISMS), die ISO/IEC 27001.
Ausgabe 22
(Dezember 2005)
Externe Bedrohungen der IT-Sicherheit - Trends 2006
(D. Weidenhammer)
Der Artikel greift die Entwicklungen des vergangenen Jahres bei den externen Bedrohungen auf und prognostiziert die sich abzeichnenden Trends des neuen Jahres.
Session-Management in Webanwendungen (B. Fröbe)
Eines der wichtigsten Sicherheitsthemen bei Webanwendungen ist das Session-Management. Dass bei den Entwicklern Sicherheitsüberlegungen nicht immer im Vordergrund stehen, zeigt der Artikel.

To top

Ausgabe 21
(Oktober 2005)
Security Metrics (H. Diening)
Es wird aufzeigt, wie mit Metriken eine quantitative Bewertungsgrundlage für die Zielerreichung von Maßnahmen, Prozessen oder anderen Entitäten in der Informationssicherheit eingeführt werden kann.
Rechtskonformer Umgang mit Content-Filterung (U. Emmert)
Content-Security Lösungen werden verstärkt zur Überwachung und Filterung von datenimportierenden Diensten eingesetzt. Dabei sind aber enge rechtliche Grenzen zu beachten, die hier behandelt werden.
Ausgabe 20
(August 2005)
Grundlagen des Identity Managements (D. Fischer)
Die effiziente und sichere Verwaltung digitaler Identitäten wird zunehmend wichtiger. Hierzu werden Aufbau, Problembereiche und Nutzen von in Frage kommenden Werkzeugen analysiert.
IT Security Management Framework - Teil 1 (D. Weidenhammer)
Die notwendige Organisation und Integration aller Sicherheitskomponenten erfordert ein tragfähiges Betriebsmodell. Hierzu wird ein Framework vorgestellt und zunächst die Bedeutung von ITIL untersucht.
Ausgabe 19
(Juni 2005)
Angriffsmöglichkeiten gegen die Netzwerk-Infrastruktur
(E. Rey, P. Fiers)
Es werden neben einigen bekannten Layer-2 Sicherheitsproblemen auch neue Angriffsmethoden beschrieben, die gerade in Cisco-basierten lokalen Netzen unbedingt beachtet werden sollten.
Erfahrungsbericht: Security-Audits von Internetzugängen (M. Scheler)
Der Erfahrungsbericht beruht auf einigen von uns durchgeführten Zweitprüfungen von Internet-Schutzzonen und zeigt die häufigsten Mängel bei vorausgegangenen einfachen Security-Scans auf.
Ausgabe 18
(April 2005)
Bewertung von Sicherheitsmaßnahmen (H. Diening)
Anhand der einzelnen Schritte einer Risikobehandlung werden verschiedene Methoden zur Bewertung von Sicherheitsmaßnahmen erläutert. (Fortsetzung von "Einführung eines ISMS" aus Ausgabe #16)
Zentrale Lösungen zur e-Mail Security (Dr. T. Johr)
Es werden zentrale Signier- und Verschlüsselungslösungen zur e-Mail Security vorgestellt und ihre Vor- und Nachteile im Betrieb erläutert. Eine Produktübersicht benennt die wichtigsten Anbieter.
Sonderdruck aus Ausgabe 18
(Juni 2005)
Zentrale Lösungen zur e-Mail Security (Dr. T. Johr)

To top

Ausgabe 17
(Februar 2005)
Sicherheitstests von Webapplikationen für Jedermann (B. Fröbe)
Es werden einfach durchzuführende Tests aufgezeigt, mit denen jeder selber erste Erkenntnisse über die Sicherheit seiner Webapplikationen gewinnen kann.
Umlautdomänen - Spoofing by Design? (Dr. T. Johr)
Mit der Einführung von internationalen Domänennamen können unter Nutzung von exotischen Zeichensätzen in der URL Phishing-Angriffe initiiert werden. Technik und Gegenmaßnahmen werden beschrieben.
Sind Blackberrys sicher? (F. Breitschaft)
Die Nutzung von BlackBerry ermöglicht einen einfachen mobilen Zugriff auf E-Mails und erfreut sich deshalb zunehmender Beliebtheit. Die damit verbundenen Sicherheitsprobleme werden analysiert.
Sonderdruck aus Ausgabe 17
(Februar 2005)
Sind Blackberrys sicher? (F. Breitschaft)
Die Nutzung von BlackBerry ermöglicht einen einfachen mobilen Zugriff auf E-Mails und erfreut sich deshalb zunehmender Beliebtheit. Die damit verbundenen Sicherheitsprobleme werden analysiert.
Ausgabe 16
(Dezember 2004)
Einführung eines ISMS (H. Diening)
Eine Übersicht zu BS 7799 wird verbunden mit Hinweisen für den Aufbau eines ISMS. Dabei wird auch auf die Möglichkeit der Einbeziehung des BSI-Grundschutzhandbuches eingegangen.
Endpoint Security (F. Breitschaft)
Dezentrale Sicherheitstechniken auf jedem einzelnen Endsystem sind mittlerweile verfügbar und auch administrierbar. Hierzu werden der aktuelle Stand dargestellt und mögliche Lösungen bewertet.
Ausgabe 15
(Oktober 2004)
Sicherer Einsatz ausgehender SSH-Verbindungen (Dr. T. Johr)
Die Nutzung von SSH auch für ausgehende Verbindungen in das Internet hat massive Sicherheitsauswirkungen auf das eigene Netz. Diese werden beschrieben und Gegenmaßnahmen aufgezeigt.
IPS vs ASG - Schutz von Webanwendungen (R. Stange)
Intrusion Prevention Systeme und Web Application Security Gateways verfolgen ähnliche Schutzziele, ohne direkt zu konkurrieren. Dies wird am Beispiel des Schutzes von Webanwendungen aufgezeigt.
Ausgabe 14
(August 2004)
Grundlagen der forensischen Analyse von IT-Vorfällen (B. Fröbe)
Das Vorgehen bei der Forensik zu IT-Vorfällen wird von der Erkennung über die Beweissicherung bis hin zur Analyse erläutert. Die dabei genutzten Tools und Techniken werden kurz dargestellt.
SIM - Security Information Management (D. Weidenhammer)
Der Stand der Technik zur Verarbeitung von Sicherheitsinformationen wird aufgezeigt und es werden Hinweise zur Produktbewertung und zur Einführung dieser neuen Technik gegeben.

To top

Ausgabe 13
(Juni 2004)
Datenbank-Sicherheit (W. Kettler)
Benennung der häufigsten Sicherheitsprobleme beim Einsatz von Datenbanken und Empfehlung von Maßnahmen zum Schutz vor externen und internen Angreifern.
Smarte (Un)Sicherheit (B. Fröbe)
Überblick zu den bei Smartphones eingesetzten Technologien mit kurzer Risikobetrachtung und einigen Sicherheitshinweisen.
Ausgabe 12
(April 2004)
Multifunktionale Content-Security-Gateways (D. Weidenhammer)
Bewertung von Security-Gateways, die zur Erweiterung der zentralen Schutzfunktionen als integrierte Lösungen für Content-Scanner und -Filter, Anti-Spam, SSL-Proxy angeboten werden.
Brandbekämpfung im Netz (U. Emmert)
Am Beispiel Firewall/Schutzzone wird beschrieben, welche Maßnahmen ein Unternehmen zu treffen hat, um bei Sicherheitsverletzungen nicht mit Haftungsansprüchen konfrontiert zu werden.
Ausgabe 11
(Februar 2004)
Grundlagen eines effizienten Patchmanagements (B. Fröbe)
Überblick zur Notwendigkeit eines aktiv betriebenen Patchmanagements und Empfehlungen zu seiner Umsetzung im Tagesbetrieb.
SSL in Theorie und Wirklichkeit (Dr. T. Johr)
Erläuterung der grundlegenden Konzepte von SSL und Diskussion der Sicherheitsprobleme in Implementierung, Administration und Nutzung. Vorstellung einiger illustrierender Beispiele.
Ausgabe 10
(Dezember 2003)
Web-Services und Security (Dr. G. Brose)
Beschreibung der Grundlagen von Web-Services und Vorstellung der relevanten Standards im Sicherheitsbereich. Diskussion konkreter Sicherheitstechnologien unter Architekturgesichtspunkten.
Wie viel darf IT Sicherheit kosten? (D. Weidenhammer)
Darstellung und Bewertung von qualitativen und quantitativen Argumentationshilfen bei Investitionsverhandlungen zur IT-Sicherheit. Tools zur Berechnung von RoSI (Return-of-Security-Investment)
Ausgabe 9
(Oktober 2003)
SSL-Proxy: Gateway-Security trotz Verschlüsselung (R. Stange)
SSL-Proxies dienen der Unterbrechung verschlüsselter Verbindungen, um auch diese einer zentralen Kontrolle auf Malware und einer zentralen Zertifikatsverwaltung unterziehen zu können.
Zentrales Mail-Gateway als virtuelle Poststelle (D. Weidenhammer)
Einfache Möglichkeit für Unternehmen eine gesicherte Email-Kommunikation mit zentral administrierter Verschlüsselung und Signierung aufzubauen.

To top

Ausgabe 8
(August 2003)
SPAM-Abwehr: Was ist rechtlich und technisch machbar?
(F. Breitschaft)
Neben rechtlichen Grundlagen der SPAM-Abwehr werden technische Möglichkeiten einiger konkreter Produkte beschrieben und bewertet.
Instant Messaging - die neue Bedrohung? (D. Weidenhammer)
Die Risiken bei der Nutzung von Instant Messaging (IM) sind weitgehend unbekannt. Dieser Artikel schafft Abhilfe und beschreibt die notwendigen Schutzmaßnahmen.
Ausgabe 7
(Juni 2003)
Rechtliche Maßnahmen zur Hackerabwehr (U. Emmert)
Aktuelle Rechtsgrundlagen zur Überwachung und Verfolgung von Hacker-Angriffen auf ein Unternehmen. Erlaubte Möglichkeiten zur Notwehr und Selbsthilfe.
Verschlüsselte Dateiablage (F. Breitschaft)
Bei hohem Schutzbedarf von Daten müssen auch im Intranet Verschlüsselungstechniken eingesetzt werden. Erfahrungsbericht zu einem Projekt.
Transparente Software - .NET ein Risiko? (S. Nowozin)
Sprachen wie Java und die .NET Familie schaffen durch ihre Portabilität in Punkto Sicherheit neue Probleme. Für .NET werden hierzu Schwachstellen und Auswege aufgezeigt.
Ausgabe 6
(April 2003)
Design sicherer Unix-Administrationsumgebungen (Dr. T. Johr)
Projektergebnisse zum Aufbau einer sicheren Unix-Administration mit dem Einsatz von SSH und sudo für sichere Ende-zu-Ende-Verbindungen.
Sichere Webapplikationen (B. Fröbe)
Beschreibt die Grundlagen von Webapplikationen und benennt die am häufigsten auftretenden Sicherheitsprobleme mit Hinweisen zu deren Vermeidung.
Ausgabe 5
(Februar 2003)
Sicherung von Laptops (D. Weidenhammer)
Überblick zur Verbesserung der Sicherung von mobilen Systemen. Es werden sowohl physische als auch systemtechnische Schutzmaßnahmen angesprochen.
Sicherheit im LAN (S. Nowozin)
Typische LAN-Schwachstellen aus der Sicht eines Angreifers. (ARP-Spoofing, DoS, Sniffen in geswitchten Netzen, IP-Spoofing, Man-in-the-Middle und DHCP-Angriffe)
Ausgabe 4
(Dezember 2002)
Sicherheit von zSeries Systemen unter z/OS und Linux (F. Breitschaft)
Ist im UNIX Bereich der Host vor Buffer Overflows und Format String Attacken sicher? Ist "Host-Security" ein Mythos oder Realität? Ein Praxistest der GAI NetConsult mit überraschenden Ergebnissen.
Sicherheitsrisiko Internet Explorer? (B. Fröbe)
Vorstellung aktueller Sicherheitslücken und Empfehlungen zur sicheren Konfiguration des Internet Explorers.

To top

Ausgabe 3
(Oktober 2002)
Personal Firewalls im Unternehmenseinsatz (M. Scheler / F. Breitschaft)
Ergebnisse einer Produktevaluierung der GAI NetConsult mit gewichteter Bewertung von Firewall-Engine und Möglichkeiten zum zentralen Management.
Rechtliche Aspekte des Betriebs von WWW-Servern (R. W. Gerling)
Empfehlungen zur Beachtung neuer rechtlicher Rahmenbedingungen für die Kennzeichnungspflicht bei Webangeboten. Beispiel eines "rechtlich sauberen Disclaimers" für die Impressumsseite.
Ausgabe 2
(August 2002)
Web-Services: Neue Chancen, aber auch neue Risiken! (W. Kettler)
Vorstellung von Entwicklung, Standardisierung und absehbaren Sicherheitsproblemen bei Web-Services.
Buffer Overflows: Eine Einführung (S. Nowozin)
Darstellung von Gefährdungspotential und technischen Grundlagen dieser verstärkt eingesetzten Angriffstechnik.
Ausgabe 1
(Juni 2002)
KonTraG: Pro-aktives Risk Management wird zur Pflicht
(D. Weidenhammer)
Vorstellung der Anforderungen des KonTraG an den IT Risk Management Process. Ausführliche Diskussion der Phase: Risikoidentifikation.
Viren und Würmer - Ein Ausblick auf kommende Zeiten (S. Nowozin)
Überblick zur Funktionsweise von Viren und Würmern und Prognose über die zu erwartenden Entwicklungen hin zu Hybridversionen.

To top

Anmeldung

Die jeweils aktuellste Ausgabe wird ausschließlich an unsere Abonnenten per E-Mail versandt.

Sie sind noch kein Abonnent?

>> Hier geht's zur Anmeldung

Ältere Ausgaben

Sie sind Abonnent und haben Interesse an einer älteren Ausgabe des Security Journals?

... schreiben Sie uns einfach an:

 journal(at)gai-netconsult.de

© 2024 GAI NetConsult GmbH, Am Borsigturm 58, D-13507 Berlin, Letzte Änderung 01.10.2024