<kes> 2009#1
<kes> 2009#2
<kes> 2009#3
<kes> 2009#4
<kes> 2009#5
<kes> 2009#6
|
<kes> 2009#1 |
<kes> 2009#2 |
<kes> 2009#3 |
|
<kes> 2009#4 |
<kes> 2009#5 |
<kes> 2009#6 |
Michael Hange, der neue Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), spricht im <kes>-Interview über persönliche und aktuelle Schwerpunkten seiner Arbeit sowie die Lage der Informationssicherheit.
<kes> 2009#6, Seite 6
Wenn einer eine Reise tut, dann ... soll er besser gut aufpassen, dass ihn niemand ausspioniert! Gerade die räumliche Enge zu unbekannten Mitreisenden kann diverse Spionagemöglichkeiten im Zug eröffnen. Technisch unterstützte Augen und Ohren möglicher Angreifer im ICE erörtert
<kes> 2009#1, Seite 10
Noch immer sind etliche Windows-Netze anfällig gegen die "feindliche Übernahme" durch Angreifer. Schwachstellen und Konfigurationsfehler ermöglichen häufig die von unseren Autoren beschriebene mehrstufige Attacke mit dem Ziel "Domänenverwalter" zu werden – Gegenmaßnahmen beschreiben sie natürlich auch.
<kes> 2009#1, Seite 16
Terminal-Server werden gerne wegen ihrer Möglichkeiten zur Beschränkung von Zugriffsrechten verwendet. Doch sie liefern auch eine nicht unerhebliche und häufig unterschätzte Angriffsfläche. Mögliche Attacken und Gegenmaßnahmen behandelt
<kes> 2009#2, Seite 34
Auch Schwachstellen in Web-Applikationen, die auf den ersten Blick "ungefährlich" erscheinen mögen, lassen sich durch fortgeschrittene SQL-Injection für Angriffe missbrauchen. Wie Angreifer und Penetrationstester solche Verwundbarkeiten finden können, erklärt
<kes> 2009#5, Seite 52
Betreiber von IT-Anlagen müssen auch gewisse Präventionspflichten erfüllen, um Gefahren für Dritte zu mindern, die von ihrer Informationstechnik ausgehen. Ansonsten drohen Schadensersatzforderungen aufgrund von Betreiber- oder Störerhaftung. Unter Umständen macht man sich sogar strafbar, warnt ein Anwalt auf
<kes> 2009#1, Seite 24
Auch wenn das beim Einsatz neuerer Klimalösungen bisweilen in Vergessenheit gerät: Die thermische Belastbarkeit von RZ-Flächen ist nicht unendlich! Wo klassische Grundsätze der Sicherheitsplanung in den Hintergrund treten, drohen geringere Verfügbarkeit und Wartbarkeit.
<kes> 2009#1, Seite 30
Mindestens acht Zeichen lautet seit Längerem eine Anforderung an Passwörter – doch angesichts drastisch gestiegener Rechenleistung genügen die "altbekannten" Richtlinien nicht länger! Aktualisierte Tipps für die sichere Gestaltung und Verwaltung von Kennwörtern gibt unser Beitrag.
<kes> 2009#2, Seite 6
Bringen schon die nächsten Monate deutliche Veränderungen für Penetrationstests als Dienstleistung oder bleibt noch länger alles so, wie man es seit einigen Jahren schon kennt? Zwei Meinungen von zwei Experten im Widerstreit.
<kes> 2009#2, Seite 14
Was steckt wirklich hinter Software as a Service? Unser Autor räumt mit Vorurteilen und Irrtümern auf, wie sie bei neueren Konzepten häufig zu beobachten sind.
<kes> 2009#2, Seite 60
Managed Security-Services (MSS) sind einer aktuellen Studie zufolge in Europa gefragter als in den USA. Neben Ergebnissen der Studie enthält der vorliegende Beitrag auch Gedanken zu möglichen Vorzügen und Auswahlkriterien von MSS.
<kes> 2009#2, Seite 64
Unter anderem erschweren verschiedene Standards und Begrifflichkeiten, aber auch "hausgemachte" Probleme den Weg zur nachweislichen Beachtung aller einschlägigen Vorschriften – kurz Compliance. Häufige Fehler und wie man sie vermeidet beschreibt
<kes> 2009#2, Seite 68
Um ein planvolles und ganzheitliches Vorgehen im Sicherheits-Management zu unterstützen, beschreiben unsere Autoren einen toolgestützten Steuerungs-Ansatz, bei dem ein Werkzeug zum IT-Governance-, Risk- und Compliance-(GRC)-Management als zentrale Einheit fungiert.
<kes> 2009#2, Seite 72
Unser Autor stellt eine praxiserprobte pragmatische Methodik zur Risikobewertung der Informationssicherheit vor, die sich an nationale wie internationale Normen anlehnt, aber dennoch eine gewisse "Leichtigkeit" und damit Effizienz behält.
<kes> 2009#3, Seite 6
Um Investitionsentscheidungen zur Informationssicherheit zu fällen und zu rechtfertigen, sind nachvollziehbare Kennzahlen und Modelle gefragt. Die Kombination verschiedener mehr oder weniger bekannter Methoden liefert gute Möglichkeiten zur Wirtschaftlichkeitsanalyse in Sachen Security.
<kes> 2009#3, Seite 14
Der Mensch ist bei etlichen Fragen der Informationssicherheit ein entscheidender Faktor. Richtiges und falsches Verhalten von Mitarbeitern wird dabei nicht zuletzt durch die vorherrschende Sicherheits- und Unternehmenskultur geprägt.
<kes> 2009#3, Seite 52
Microsoft und Oracle haben unlängst unter dem Namen Transparent Data Encryption (TDE) integrierte Lösungen zur Datenbankverschlüsselung vorgestellt, die gegenüber dem Einsatz von Drittlösungen deutliche Vorteile versprechen.
<kes> 2009#3, Seite 55
Unsere Autoren stellen ein Framework aus Kennzahlen sowie Key-Performance-Indikatoren (KPI) für ein geschäftsorientiertes Informations-Sicherheits-Management-System (ISMS) vor, das im Sinne eines "Business Oriented Management of Information Security" (BORIS) arbeitet.
<kes> 2009#4, Seite 6
Projekte benötigen Systeme, Daten und "Human Ressources" – damit sind auch Sicherheitsanforderungen an das Projektmanagement zu stellen, die eine Schnittstelle zum Security-Management schaffen. Tipps dafür liefert
<kes> 2009#4, Seite 13
Der vorliegende Beitrag skizziert ein in der Praxis bewährtes Vorgehensmodell zu Vorbereitung, Durchführung und Auswertung von Übungen im Rahmen des Notfall-, Krisen- und Kontinuitätsmanagements.
<kes> 2009#4, Seite 20
Egal ob Grippe-Pandemie oder Verkehrskollaps: Für den Fall, dass Mitarbeiter nicht ins Unternehmen kommen können, sollten Mechanismen eingerichtet sein, die Remote-Access zur Tele-Arbeit ermöglichen.
<kes> 2009#4, Seite 26
Bei der Planung oder Re-Organisation von Rechenzentren und Serverräumen empfiehlt sich eine integrale Sicht von Sicherheits- und Wirtschaftlichkeitsbetrachtungen.
<kes> 2009#4, Seite 30
Etablierte Methoden der Computer-Forensik, die auf der Analyse von Massenspeicherinhalten aufsetzen, liefern bei fortgeschrittenen Angriffen keine ausreichenden Erkenntnisse. Eine digitale Spurensuche im RAM verspricht hier Abhilfe.
<kes> 2009#4, Seite 51
Die professionalisierte Malware-Szene nutzt heute sowohl klassische Infektionswege als auch das Web 2.0. Aktuelle Malware-Meilensteine und einen Ausblick auf erfolgversprechende Abwehrmechanismen beleuchtet
<kes> 2009#4, Seite 54
Menschen, die Handy und Internet bereits seit jungen Jahren kennen, treten zunehmend in die Arbeitswelt ein. Tragen solche "Digital Natives" neue Risiken in die Unternehmen? Wie die Webgeneration den Faktor "Mensch" verändert, beleuchten unsere Autoren ab
<kes> 2009#5, Seite 6
Lange Webadressen sind lästig – URL-Verkürzungsdienste bieten Abhilfe an, bringen aber auch gewisse Risiken mit sich. Auswahl und Nutzung im Unternehmen sollte man daher gezielt angehen und einige Regeln beachten.
<kes> 2009#5, Seite 14
Die erhöhte Mobilität von IT-Systemen hat neben anderen Faktoren einen Paradigmenwechsel von der Perimeter-Sicherheit hin zur Endpoint-Security notwendig gemacht. Die IT-Grundschutzkataloge des BSI geben sowohl hierbei als auch speziell für die Mobile Security einiges an Hilfestellung.
<kes> 2009#5, Seite 70
Smartphones bieten im Zusammenspiel mit modernen IT-Architekturen eine Menge Chancen für verteilte Anwendungen. Doch erst integrale Sicherheit, wie sie Security-Token-Services bieten, macht diese Welt wirklich reif für den Unternehmenseinsatz.
<kes> 2009#5, Seite 73
Zur Steuerung der IT auf etablierte Standards zurückzugreifen, verspricht erhebliche Arbeitserleichterungen und die Implementierung von "Good Practices". Doch lässt sich IT-Governance mit Referenzmodellen wie ITIL und CobiT wirklich vollständig abbilden?
<kes> 2009#5, Seite 77
Qualitätssicherung in der Informations-Sicherheit basiert heutzutage häufig nur auf sporadischen Prüfungen. Neben unerkannten Sicherheits-Risiken drohe dabei auch die Verletzung rechtlicher Sorgfaltspflichten, meinen unsere Autoren. Statt Stichproben empfehlen sie eine transparente und proaktive Herangehensweise.
<kes> 2009#5, Seite 82
Längst nicht alle Richtlinien zur Informationssicherheit sind so akkurat wie sie sein sollten: Mangelnde Aktualität oder unscharfe Definitionen sind nur zwei mögliche Defizite. Aufgrund von Erfahrungen aus der Praxis gibt unser Autor Tipps zur Optimierung von IT-Security-Policies.
<kes> 2009#6, Seite 10
Nicht alles, was als bewährt gilt, hat zu Recht Bestand – auch in der Sicherheit sind Relikte aus früheren Zeiten keine Seltenheit. Dieser Beitrag plädiert eindringlich wie unterhaltsam für innovative Sicherheitskonzepte, die der aktuellen IT-Landschaft mit mobilen, vernetzten und sachkundigen Mitarbeitern gerecht wird.
<kes> 2009#6, Seite 12
Passwörter von Systemverwaltern, Datenbankadministratoren und Geschäftsführern, aber auch Software-Accounts, die Anwendungen Zugriffsrechte auf Unternehmensdaten ermöglichen, all sie sind eine Art Generalschlüssel der IT. Dennoch wird ihre Verwaltung, das Privileged-Identity-Management, oft stiefmütterlich behandelt. Probleme und Lösungsansätze behandelt
<kes> 2009#6, Seite 68
Das TeleTrusT-PKI-Referenzprojekt zielt auf die Verbesserung der PKI-Einbindung: Auf Basis einer technisch modernen, serviceorientierten Schnittstelle soll eine nahtlose Integration von PKI-Systemen inklusive des PKI-Managements in Anwendungen leichter werden.
<kes> 2009#6, Seite 74
Notebooks, PDAs und Smartphones sind im mobilen Einsatz oft "auf sich gestellt", wenn es darum geht, unerwünschte Netzwerkverbindungen zu blockieren – doch auch im internen Netz schaffen Client-/Personal-Firewalls eine zusätzliche Verteidigungslinie. Unsere Marktübersicht umfasst 14 Lösungen zur Absicherung von Endgeräten.
<kes> 2009#1, Seite 68
Dieser Beitrag liefert Überlegungen zum sicheren VoIP-Betrieb auf Basis von Asterisk, der derzeit wohl populärsten Open-Source-Lösung für Voice-over-IP-Systeme.
<kes> 2009#1, Seite 74
Anders als bei anderen Internetprotokollen ist im Domain-Name-System (DNS) nur selten eine kryptografisch gesicherte Variante im Einsatz – dabei sind die "Domain Name System Security Extensions" (DNSSEC) schon seit Jahren spezifiziert. In naher Zukunft dürfte ihr Einsatz jedoch unvermeidbar werden.
<kes> 2009#5, Seite 60
Die Open-Source-Security-Suite "Anoubis" liefert kostenlose Endpoint-Security für Unix-/Linux-Systeme: Neben einer Client-Firewall und applikationsbasierten Zugriffsbeschränkungen fürs File-System sind damit auch Prüfsummen zum Integritäts-Check machbar.
<kes> 2009#5, Seite 64
Die Münchener Hypothekenbank hat sogar noch vor dem offiziellen Erscheinungstermin über 600 PCs mithilfe einer Client-Lifecycle-Management-Lösung auf das neue Windows-Betriebssystem umgestellt– ein Anwenderbericht.
<kes> 2009#6, Seite 64
Das Berechtigungskonzept von SAP ist komplex; schnell schleichen sich Fehler ein. Unser Autor bespricht vier Tools zum SAP-Audit, die dazu dienen, solche Fehler aufzudecken und teils auch allgemeine Compliance- und Governance-Anforderungen erfüllen zu helfen.
<kes> 2009#1, Seite 80
Für Risikomanagement- und IT-Governance-Prozesse bietet sich der Einsatz mehr oder minder generischer Compliance-Tools an, die heute in größerer Zahl und mit unterschiedlichem Funktionsumfang am Markt sind. Doch welche Kriterien soll man anwenden, um das passende Werkzeug zu finden?!
<kes> 2009#1, Seite 88
Der Weg zu Lösungen fürs Identity- und Access- Management-(IAM) gilt allgemein als aufwändig und heikel. Doch die richtige Planung kann Komplexität und Risiko einer IAM-Einführung deutlich verringern. Empfehlungen für erfolgreiche strategische IAM-Projekte liefert
<kes> 2009#3, Seite 58
Auf Basis der Erfahrungen bei der Neukonzeption der Public-Key-Infrastruktur (PKI) der Fraunhofer-Gesellschaft erörtert die Projektleiterin Gedanken zur erfolgreichen Konzeption einer Unternehmens-PKI.
<kes> 2009#3, Seite 64
Vor allem bei Unternehmen, die beiderseits des Atlantiks arbeiten, sorgen "Legal-Discovery"-Anforderungen immer häufiger für Interessenskonflikte. Noch existiert kein Standard, wie damit umzugehen ist – den aktuellen Diskussionsstand erörtert unser Artikel.
<kes> 2009#4, Seite 43
Neben Anforderungen aus dem US-Recht begründen auch hiesige Regularien gelegentlich umfassende Auskunftspflichten in Bezug auf elektronisch gespeicherte Daten. Das "Electronic Discovery Reference Model" (EDRM) liefert eine Leitlinie zur Strukturierung von E-Discovery-Aktivitäten.
<kes> 2009#4, Seite 46
Schlagen Sie mehrere Fliegen mit einer Klappe: Nutzen Sie den Fragebogen zur neuen <kes>/Microsoft-Sicherheitsstudie als Checkliste zur Beurteilung Ihrer eigenen Sicherheitslage und helfen Sie gleichzeitig beim Zusammentragen wertvoller Informationen zu Strategien, Risiken, Angriffen und Gegenmaßnahmen.
<kes> 2009#6, Seite 17
Im ersten <kes>-Talk ging es – natürlich – um Sicherheit, wortwörtlich diesmal: Was bedeutet überhaupt "sicher sein"? Wie stellt man diesen Zustand fest und wie erlangt man ihn?!
<kes> 2009#2, Seite 24
Das zweite Expertengespräch auf der CeBIT drehte sich um die Malware: Wie ist der Status Quo und welche Aussichten bringt die nähere Zukunft? Wie können wir die Abwehr künftig besser gestalten?!
<kes> 2009#2, Seite 28
Die dritte von vier <kes>-Gesprächsrunden auf der CeBIT hatte alte und neue Grenzen und Grenzkontrollen im Cyberspace zum Thema: Wie verändert das "grenzenlose" Datennetz die Rolle von Sicherheitsgateways, Firewall & Co? Welche Alternativen gibt es?
<kes> 2009#3, Seite 23
Gesetze und Regularien gibt es reichlich – auch zu Datenschutz und Informationssicherheit. Doch wie viel Sicherheit schafft unser Recht? Und wie viel Rechts-Unsicherheit entsteht dabei?
<kes> 2009#3, Seite 28
Wenn Anfang März die IT-Welt nach Hannover "pilgert", wird auch die Informationssicherheit auf der CeBIT wieder eine große Rolle spielen. Einen Vorgeschmack auf Produkte und Aussteller der "CeBIT Security World" und des <kes>-Partnerstands in der designierten Security-Halle 11 liefert
<kes> 2009#1, Seite 33
Serviceorientierte Architekturen (SOA) besitzen die Flexibilität, IT-Prozesse unternehmensübergreifend zu verbinden. Für die Sicherheit hat das jedoch weitreichende Konsequenzen, da die klassische Abschottung an den Unternehmensgrenzen nicht mehr hinreichend funktioniert. Herausforderungen und Security-Konzepte beshreibt der Hauptbeitrag im diesjährigen TeleTrusT-Sonderteil.
<kes> 2009#1, Seite 38
Informationen zu Produkten und Ausstellern in Sachen Informationssicherheit liefert unser CeBIT-Rückblick. Die Ergebnisse unserer Gesprächsrunden auf dem Forum des <kes>-Partnerstands behandeln die nachfolgenden Beiträge.
<kes> 2009#2, Seite 18
Anlässlich des bevorstehenden BSI-Kongresses erläutert der Beauftragte der Bundesregierung für Informationstechnik die IT-Steuerung des Bundes sowie das aktuelle Investitionsprogramm, das unter anderem auch in Sicherheitsmaßnahmen fließen soll. Zudem gibt es einen kurzen Ausblick auf Aussteller und Programm des Kongresses.
<kes> 2009#2, Seite 37
Mitte Mai fand der 11. Deutsche IT-Sicherheitskongress des BSI in Bonn-Bad Godesberg statt. Unser Kongressrückblick fasst wichtige Aussagen der Eröffnungsreden zusammen.
<kes> 2009#3, Seite 33
Im Oktober präsentiert die Security-Messe it-sa sowohl bekannte Foren-Highlights als auch neue Plattformen.
<kes> 2009#4, Seite 60
Vom 13. bis zum 15. Oktober findet die Sicherheits-Messe it-sa erstmals in Nürnberg statt. Einen Vorgeschmack auf Produkte und Aussteller gibt
<kes> 2009#5, Seite 20
In diesem Jahr hat die it-sa mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) einen neuen ideellen Träger gewonnen. Aus diesem Anlass berichtet der Branchenverband über seine Aktivitäten in Sachen Sicherheit.
<kes> 2009#5, Seite 28
Vom 13.–15. Oktober fand die erfolgreiche Premiere der it-sa als eigenständige Security-Messe in Nürnberg statt. Schlaglichter von Messegeschehen, Produkten und Ausstellern liefert unser Rückblick.
<kes> 2009#6, Seite 35
Verzögerungen und Verzerrungen in der Wahrnehmung lassen reales und "gefühltes" Risiko leicht auseinander driften. Unsere CERT-Kolumne warnt, wovor man sich beim "Regelkreis Risikomanagement" in Acht nehmen muss.
<kes> 2009#1, Seite 22
Nur selten erfährt die Öffentlichkeit von gezielten Angriffen mit Malware – bisweilen dürften diese selbst den Opfern verborgen bleiben. Unsere Kolumne referiert über Gefährdung und Gegenmaßnahmen.
<kes> 2009#2, Seite 32
Nach längerer Pause haben Malware-Entwickler Speichermedien wieder als Infektionsweg schätzen gelernt. Gedanken zu Sicherheitsstrategien und Konsequenzen bei der Überwachung von USB-Sticks liefert
<kes> 2009#3, Seite 50
Der System-Management-Mode (SMM) umgeht Betriebssystem und Applikationen und damit auch jegliche Security-Software – und schafft so eine heikle Nische für Rootkits.
<kes> 2009#4, Seite 57
Die Firmware moderner Rechner ist kein völlig sicherer Ort mehr: Auf der diesjährigen Black-Hat-Konferenz wurde ein Angriff vorgestellt, der bösartige BIOS-Updates ermöglichen kann.
<kes> 2009#5, Seite 50
Endlich geht es voran mit DNSSEC! Doch auch die Einführung der "Domain Name System Security Extensions" wird etliche Fragen offen lassen und einige neu aufwerfen. Mit wie viel Mehr an Sicherheit man rechnen darf, hinterfragt
<kes> 2009#6, Seite 58
Unsere neue Rechts-Rubrik beschäftigt sich diesmal unter anderem mit möglichen Verantwortlichkeiten in der Geschäftsführung bezüglich der Informationssicherheit. Weitere Meldungen behandeln kostenlose Beratung für <kes>-Abonnenten, das Fernmeldegeheimnis bei E-Mails sowie Razzien in Unternehmen.
<kes> 2009#2, Seite 56
Unsere Rechtsrubrik behandelt in drei Kurzmeldungen Urteile zu privaten Programmen auf geschäftlicher IT sowie zur Haftungsfrage bei Raubkopien im Unternehmen und zum Schadensersatz bei Datenvernichtung.
<kes> 2009#3, Seite 32
Neben Datenschutzaspekten des Cloud-Computing behandeln die Kurzmeldungen unserer Rechtsrubrik auch eine mögliche Vorratsdatenspeicherpflicht für Arbeitgeber sowie Strafbarkeit bei E-Mail-Blacklisting. Außerdem geht es darum, wann Gesetzesänderungen einen Software-Sachmangel begründen können.
<kes> 2009#4, Seite 62
Unsere Rechtsrubrik behandelt neben Änderungen im Bundesdatenschutzgesetz auch den "digitalen Einbruch", eine Installationpflicht aktueller Security-Patches, E-Mail-Disclaimer und ein Urteil zur Beschlagnahme von E-Mails beim Provider.
<kes> 2009#5, Seite 31
Unsere Rechtsrubrik behandelt in drei Kurzbeiträgen die Strafbarkeit von Datenveränderung nach § 303a StGB, den Arbeitnehmerdatenschutz und Fragen zum Personenbezug bei Geodaten.
<kes> 2009#6, Seite 41
Rubriken |
|
|---|---|
| Editorial | <kes> 2009#1, Seite 3 |
| <kes> 2009#2, Seite 3
|
|
| <kes> 2009#3, Seite 3
|
|
| <kes> 2009#4, Seite 3
|
|
| <kes> 2009#5, Seite 3
|
|
| <kes> 2009#6, Seite 3
|
|
| News und Produkte | <kes> 2009#1, Seite 95 |
| <kes> 2009#2, Seite 78
|
|
| <kes> 2009#3, Seite 70
|
|
| <kes> 2009#4, Seite 64
|
|
| <kes> 2009#5, Seite 87
|
|
| <kes> 2009#6, Seite 79
|
|
| Impressum | <kes> 2009#1, Seite 98 |
| <kes> 2009#2, Seite 82 | |
| <kes> 2009#3, Seite 74 | |
| <kes> 2009#4, Seite 66 | |
| <kes> 2009#5, Seite 90 | |
| <kes> 2009#6, Seite 82 | |
| Termine | <kes> 2009#1, Seite 72 |
| <kes> 2009#2, Seite 58
|
|
| <kes> 2009#3, Seite 49
|
|
| <kes> 2009#4, Seite 18
|
|
| <kes> 2009#5, Seite 36
|
|
| <kes> 2009#6, Seite 62
|
|
| Events und Weiterbildung (Anzeigenrubrik) | <kes> 2009#1, Seite 73
|
| <kes> 2009#2, Seite 59
|
|
| <kes> 2009#3, Seite 68
|
|
| <kes> 2009#4, Seite 19
|
|
| <kes> 2009#5, Seite 80
|
|
| <kes> 2009#6, Seite 61
|
|
| Wer bietet was? (Anzeigenrubrik) | <kes> 2009#1, Seite 99 |
| <kes> 2009#2, Seite 83
|
|
| <kes> 2009#3, Seite 75
|
|
| <kes> 2009#4, Seite 67
|
|
| <kes> 2009#5, Seite 91
|
|
| <kes> 2009#6, Seite 83
|
|
| 