Inhaltsverzeichnis <kes> 2017#1
Management und Wissen
In dieser Glosse verrät unser langjähriger Autor Ralph Dombach, warum die IT-Security eigentlich gar nichts anderes sein kann als erfolgreich – und Mittel und Wege aus der leidgeprüften Praxis, um dieser Erwartung auch gerecht zu werden.
Seite 6
Unternehmen müssen bei der Entwicklung schlanker Business-Apps heute einen Spagat zwischen kurzer Entwicklungszeit, Attraktivität für die Anwender und der Sicherheit machen – umso wichtiger sind Best Practices, die den gesamten Lebenszyklus erfassen.
Seite 8
Soll man Trends und Hypes zügig aufgreifen oder besser so lange wie möglich warten? Schließlich bedeuten brandneue, teils noch „unfertige“ IT-Anwendungen normalerweise nicht nur neue Chancen, sondern auch neue Risiken. Wo für solche Fragen kein Innovationsmanagement zur Verfügung steht, droht jedenfalls Chaos.
Seite 12
Sicherheits-Konzepte tendieren aus verschiedenen Gründen leicht dazu, übermäßig umfangreich und kompliziert zu werden. Wie das kommt und was man dagegen tun kann, beschreibt der Beitrag auf
Seite 20
Risiko-Matrizen sollen die Ergebnisse einer Risikoanalyse vereinfacht visualieren und bei ihrer Analyse und Priorisierung helfen. Leider sind Fehler bei Design und Bewertung dabei allzu üblich, was sich negativ auf die Qualität der hierauf basierenden Entscheidungen auswirkt.
Seite 22
Bedrohung
Injection-Angriffe sind zwar alles andere als neu, rangieren aber auf der OWASP-Top-10-Liste der Sicherheitsrisiken für Webanwendungen noch immer auf Platz 1. Unser Beitrag beschreibt daher wieder einmal Grundlagen und Gegenmaßnahmen von SQL-Injection-Angriffen (SQLi).
Seite 74
Systeme und ihr Umfeld
Wie sicher sind Controller für Software-defined Networking (SDN)? Unsere Autoren haben dazu eine generelle Schwachstellenanalyse durchgeführt und eine Auswahl von Open-Source-Controllern für SDN untersucht.
Seite 67
CeBIT 2017
Vom 20.–24. März findet in Hannover die CeBIT statt. Wie schon in den Vorjahren ist die Sicherheit schwerpunktmäßig in Halle 6 angesiedelt. Eine Vorschau auf Produkte und Aussteller liefert
Seite 42
Gleich mehrere wichtige Gesetze verlangen Sicherheit nach dem „Stand der Technik“ – allerdings ohne diesen konkret zu definieren. Der TeleTrusT – Bundesverband IT-Sicherheit e. V. beleuchtet diese Problematik und informiert zudem über seine Gremien und Arbeitsschwerpunkte.
Seite 45
IT-Grundschutz
Unsere Grundschutzrubrik behandelt dieses Mal Informationssicherheit im Projektmanagement und wie eine „Initiale Risikoabschätzung“ (InRisk) dabei helfen kann.
Seite 30
Dieser Anwenderbericht beschreibt das Projekt „Automatisierter IT-Grundschutz“ der Bundespolizei, das mit zwei externen Dienstleistern unter anderem einen Tool-gestützten Basis-Sicherheitscheck sowie die zentrale und automatisierte Erstellung von Sicherheitskonzepten umsetzt.
Seite 32
Rubriken
Seite 03 | |
Seite 63 | |
Seite 83 | |
Seite 87 | |
Seite 86 |
BSI-Forum
Seite 51 | |
Seite 52 | |
Seite 56 | |
Seite 58 |
