Inhaltsverzeichnis <kes> 2017#1

(mit zugangsgeschützten Links für Abonnenten)

Management und Wissen

In dieser Glosse verrät unser langjähriger Autor Ralph Dombach, warum die IT-Security eigentlich gar nichts anderes sein kann als erfolgreich – und Mittel und Wege aus der leidgeprüften Praxis, um dieser Erwartung auch gerecht zu werden.

Seite 6

 

Unternehmen müssen bei der Entwicklung schlanker Business-Apps heute einen Spagat zwischen kurzer Entwicklungszeit, Attraktivität für die Anwender und der Sicherheit machen – umso wichtiger sind Best Practices, die den gesamten Lebenszyklus erfassen.

Seite 8

 

Soll man Trends und Hypes zügig aufgreifen oder besser so lange wie möglich warten? Schließlich bedeuten brandneue, teils noch „unfertige“ IT-Anwendungen normalerweise nicht nur neue Chancen, sondern auch neue Risiken. Wo für solche Fragen kein Innovationsmanagement zur Verfügung steht, droht jedenfalls Chaos.

Seite 12

 

Sicherheits-Konzepte tendieren aus verschiedenen Gründen leicht dazu, übermäßig umfangreich und kompliziert zu werden. Wie das kommt und was man dagegen tun kann, beschreibt der Beitrag auf

Seite 20

 

Risiko-Matrizen sollen die Ergebnisse einer Risikoanalyse vereinfacht visualieren und bei ihrer Analyse und Priorisierung helfen. Leider sind Fehler bei Design und Bewertung dabei allzu üblich, was sich negativ auf die Qualität der hierauf basierenden Entscheidungen auswirkt.

Seite 22

 

Bedrohung

Injection-Angriffe sind zwar alles andere als neu, rangieren aber auf der OWASP-Top-10-Liste der Sicherheitsrisiken für Webanwendungen noch immer auf Platz 1. Unser Beitrag beschreibt daher wieder einmal Grundlagen und Gegenmaßnahmen von SQL-Injection-Angriffen (SQLi).

Seite 74

 

Systeme und ihr Umfeld

Wie sicher sind Controller für Software-defined Networking (SDN)? Unsere Autoren haben dazu eine generelle Schwachstellenanalyse durchgeführt und eine Auswahl von Open-Source-Controllern für SDN untersucht.

Seite 67

 

CeBIT 2017

Vom 20.–24. März findet in Hannover die CeBIT statt. Wie schon in den Vorjahren ist die Sicherheit schwerpunktmäßig in Halle 6 angesiedelt. Eine Vorschau auf Produkte und Aussteller liefert

Seite 42

 

Gleich mehrere wichtige Gesetze verlangen Sicherheit nach dem „Stand der Technik“ – allerdings ohne diesen konkret zu definieren. Der TeleTrusT – Bundesverband IT-Sicherheit e. V. beleuchtet diese Problematik und informiert zudem über seine Gremien und Arbeitsschwerpunkte.

Seite 45

 

IT-Grundschutz

Unsere Grundschutzrubrik behandelt dieses Mal Informationssicherheit im Projektmanagement und wie eine „Initiale Risikoabschätzung“ (InRisk) dabei helfen kann.

Seite 30

 

Dieser Anwenderbericht beschreibt das Projekt „Automatisierter IT-Grundschutz“ der Bundespolizei, das mit zwei externen Dienstleistern unter anderem einen Tool-gestützten Basis-Sicherheitscheck sowie die zentrale und automatisierte Erstellung von Sicherheitskonzepten umsetzt.

Seite 32

 

 

Rubriken

Termine

Seite 63

News und Produkte

Seite 83

Impressum

Seite 87

Wer bietet was?

Seite 86

 

BSI-Forum