Tho­mas Hem­ker
Aus den Spiel­zeu­gen von einst sind pro­fes­sio­nel­le Werk­zeu­ge ge­wor­den. iPho­nes und An­dro­id- Han­dys stel­len die Do­mi­nanz des ein­sti­gen Platz­hir­schen BlackBer­ry in Fra­ge. Ob als Mail- Ma­schi­ne oder in­te­grier­tes ERP-Ter­mi­nal: Längst ha­ben die hand­li­chen Geräte Auf­ga­ben über­nom­men, die eng mit Pro­zes­sen im Un­ter­neh­men und da­mit den IT-Sy­ste­men ver­bun­den sind. Zugleich öff­net sich so al­ler­dings...

Dr. Tho­mas Probst
Da­ten­si­cher­heit wird über­wie­gend tech­nisch wahr­ge­nom­men. Es wird zwar im­mer wie­der be­tont, dass Men­schen und Or­ga­ni­sa­tio­nen für die Da­ten­si­cher­heit un­erläss­lich sind, doch dann beschäftigt man sich aus­gie­big mit The­men wie Ver­schlüsse­lung, Fi­re­walls, phy­si­ka­li­scher Si­cher­heit und Back­ups. Eher "wei­che" The­men wie die Sen­si­bi­li­sie­rung und ins­be­son­de­re die Mo­ti­va­ti­on von Mit­ar­bei­tern...

Dr. Tho­mas Probst
Wenn selbst ein Hacker-An­griff in Steue­rungs­sy­ste­me von Mi­litäran­la­gen ge­lingt (wie zum Bei­spiel der im Ju­ni 2010 be­kannt ge­wor­de­ne Fall des Stux­net-Wurms, der un­ter an­de­rem Ma­ni­pu­la­tio­nen in Steue­rungs­an­la­gen des ira­ni­schen Atom­pro­gramm auslöste), so ver­wun­dern An­grif­fe auf we­ni­ger gut ab­ge­si­cher­te, aber den­noch sen­si­ble Be­rei­che wie Was­ser­wer­ke nicht wirk­lich. In den USA hat...

Mar­tin Si­wek
Fast täglich be­rich­ten Me­di­en über Hacker­ein­brüche und Da­ten­diebstähle bei Un­ter­neh­men und Behörden. Bei So­ny, Necker­mann und der Washing­ton Post wur­den je­weils mehr als 1 Mio. Kun­den­da­tensätze ge­stoh­len. Auch die di­ver­sen, den deut­schen Fi­nanz­behörden an­ge­bo­te­nen Steu­er-CDs sind Er­geb­nis von Da­ten­diebstählen, die teil­wei­se von Mit­ar­bei­tern der be­trof­fe­nen Ban­ken selbst be­gan­gen wur­den....

Dr. Tho­mas Probst
Der­zeit wer­den für zahl­rei­che Brow­ser Up­dates be­reit­ge­stellt. Ur­sa­che ist ein (vir­tu­el­ler) Ein­bruch bei der Fir­ma Di­giNo­tar in den Nie­der­lan­den, die als Zer­ti­fi­zie­rungs­stel­le un­ter an­de­rem SSL-Zer­ti­fi­ka­te er­stellt. Bei dem "Ein­bruch" wur­den kei­ne Zer­ti­fi­ka­te ge­stoh­len, son­dern Fälschun­gen er­stellt - un­ter an­de­rem Zer­ti­fi­ka­te für face­book.com, goog­le.com, win­dow­sup­date. com, ad­dons.mo­zil­la.org....

Isa­bel Münch
Die IT-Grund­schutz-Ka­ta­lo­ge des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) sind ein bewähr­tes In­stru­ment für Si­cher­heits­ver­ant­wort­li­che in Un­ter­neh­men und Behörden, um In­for­ma­ti­ons­si­cher­heit in der Pra­xis zu struk­tu­rie­ren und um­zu­set­zen. Ein Großteil al­ler Geschäfts­pro­zes­se ist mitt­ler­wei­le eng mit der vir­tu­el­len Welt ver­knüpft. Geschäft­li­che Ak­ti­vitäten wer­den zu­neh­mend...

Dr. Tho­mas Probst
Die Fir­ma McA­fee, die für IT-Si­cher­heits­pro­duk­te und An­ti-Vi­rus-Soft­ware für End­an­wen­der be­kannt ist, be­rich­te­te­te An­fang Au­gust 2011 von der Auf­deckung ei­ner jah­re­lan­gen Se­rie von An­grif­fen auf Fir­men, Re­gie­run­gen und Nicht­re­gie­rungs­or­ga­ni­sa­tio­nen. An­griffs­zie­le wa­ren vor al­lem in den USA, aber auch in an­de­ren Tei­len der Welt zu fin­den. In Deutsch­land wur­de bei­spiels­wei­se mo­na­te­lang...

Hans Gliss
Land­auf, land­ab war­nen IT-Ex­per­ten vor Be­dro­hun­gen un­ter­schied­li­cher Her­kunft und Mo­ti­va­ti­on. In letz­ter Zeit häufen sich Be­rich­te über ge­ziel­te Attacken auf IT-Struk­tu­ren von Un­ter­neh­men und Behörden. In­si­der­kri­mi­na­lität kommt hin­zu. Auch das Auf­tau­chen von Stux­net ist ei­ne durch­aus ernst­zu­neh­men­de War­nung. Will man "Com­p­li­an­ce" er­rei­chen, ist die Abschätzung von Ri­si­ken ge­bo­ten, die...

Dr. Tho­mas Probst
Die Fir­ma RSA wur­de Op­fer ei­nes Hackin­gan­griffs, bei dem wich­ti­ge In­for­ma­tio­nen über das Au­then­ti­sie­rungs­ver­fah­ren Se­curID ent­wen­det wur­den. Se­curID muss seit­dem als ge­bro­chen gel­ten. Die­ses Sy­stem wird von et­wa 40 Mil­lio­nen Nut­zern in der Hard­ware-Va­ri­an­te und ca. 250 Mil­lio­nen Nut­zern in der Soft­ware-Va­ri­an­te ein­ge­setzt. Der­zeit häufen sich Mel­dun­gen über Hacker­ein­brüche. Be­kann­te­ste...

DR. THOMAS PROBST

Nut­zer und zum Teil auch IT-Ab­tei­lun­gen wähnen ih­re Passwörter auf dem iPho­ne oder auch an­de­ren Sy­ste­men mit dem Be­triebs­sy­stem iOS (et­wa iPod-Touch und iPad) si­cher, da die­se ver­schlüsselt ab­ge­spei­chert wer­den und das ver­wen­de­te Ver­fah­ren ei­ner 256-bit AES-Ver­schlüsse­lung als hin­rei­chend si­cher gilt. Teil­wei­se wird da­her blockier­ten Geräten mit iOS ("ge­lockt") der glei­che...

DR. THOMAS PROBST

Das Da­ten­for­mat PDF ist seit vie­len Jah­ren weit ver­brei­tet und hat im Lau­fe der Zeit zahl­rei­che Er­wei­te­run­gen er­fah­ren, bei de­nen Si­cher­heits­as­pek­te al­ler­dings nicht aus­rei­chend berück­sich­tigt wur­den. Vie­le Funk­tio­nen des Da­ten­for­mats las­sen sich für An­grif­fe miss­brau­chen; Ab­hil­fe ist schwie­rig. Von DR. THOMAS PROBST, Kiel. Der ursprüng­li­che Grund für die schnel­le Ver­brei­tung...

DR. THOMAS PROBST

Dass man WLANs heut­zu­ta­ge ver­schlüsselt be­treibt und die ehe­mals da­zu ver­wen­de­te Ver­schlüsse­lungs­me­tho­de WEP schon von Jah­ren ge­bro­chen wur­de, soll­te sich in­zwi­schen her­um­ge­spro­chen ha­ben (sie­he auch DSB 10/10). Da­her ver­wen­det man das Ver­fah­ren WPA (oder bes­ser WPA-2). Im pri­va­ten oder mit­telständi­schen Be­reich wer­den zu Ab­si­che­rung häufig Passwörter (so­ge­nann­te Pre-Sha­red...

ISABEL MÜNCH

Am 25. No­vem­ber 2010 ver­an­stal­te­te das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) mit dem Fraun­ho­fer-In­sti­tut für Si­che­re In­for­ma­ti­ons­tech­no­lo­gie (Fraun­ho­fer SIT) in Darm­stadt den 4. IT-Grund­schutz-Tag 2010. Schwer­punkt­the­ma der von rund 150 Teil­neh­mern be­such­ten Ver­an­stal­tung: "Si­cher­heits­as­pek­te von Cloud Com­pu­ting". Von ISABEL MÜNCH, Bonn. Was macht Cloud Com­pu­ting...

DR. THOMAS PROBST

In den Me­di­en ist sehr häufig von Si­cher­heitslücken in Soft­ware­pro­duk­ten zu le­sen, die durch Vi­ren und Tro­ja­ner auch ak­tiv aus­ge­nutzt wer­den - für An­grei­fer be­quem per WWW oder In­ter­net. Si­cher­heitslücken in Hard­ware sind nicht ganz so häufig, und es geht bei An­grif­fen hand­fe­ster zu. Be­son­ders Kar­ten­le­ser sind of­fen­sicht­lich für fi­nan­zi­ell mo­ti­vier­te An­grei­fer in­ter­es­sant....

HENRIK GOLDMANN

Cloud Com­pu­ting stellt IT-Ser­vices schnell, fle­xi­bel und ko­stengünstig zur Verfügung. An­wen­der dürfen aus­ge­reif­te Lösun­gen zum klei­nen Preis er­war­ten. Die "IT in der Wol­ke" kann ih­re Vor­tei­le aber nur dann aus­spie­len, wenn vor­her or­ga­ni­sa­to­ri­sche Fra­gen geklärt und po­ten­zi­el­le Si­cher­heits­ri­si­ken durch ein um­fas­sen­des und ko­or­di­nier­tes Si­cher­heits-Ma­nage­ment aus­ge­schlos­sen sind. Von HENRIK GOLDMANN,...

DR. THOMAS PROBST

Ei­ne Si­cher­heitslücke bei Mi­cro­soft-Be­triebs­sy­ste­men beschäftigt der­zeit die Ex­per­ten. Be­trof­fen sind Pro­gram­me, die dy­na­misch Pro­gramm­bi­blio­the­ken nach­la­den (so­ge­nann­te DLLs). Bei ma­ni­pu­lier­ten Pro­gramm­bi­blio­the­ken kann ein Schad­code aus­geführt wer­den. Von DR. THOMAS PROBST, Kiel. Zum Nach­la­den von Pro­gramm­bi­blio­the­ken su­chen Pro­gram­me nicht nur in den ent­spre­chen­den Be­triebs­sy­stem­ver­zeich­nis­sen,...

UDO ADLMANNINGER

Un­ter­neh­men ha­ben in den letz­ten Jah­ren in­ve­stiert, um ih­re kri­ti­schen In­for­ma­tio­nen vor un­ge­woll­ter Veröffent­li­chung zu schützen. Da­bei wur­den tech­ni­sche und or­ga­ni­sa­to­ri­sche Lösun­gen auf brei­ter Ebe­ne um­ge­setzt. Das Spek­trum reicht vom klas­si­schen Pe­ri­me­ter­schutz bis zum In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sy­stem (ISMS) mit Richt­li­ni­en und Si­cher­heits­pro­zes­sen. Trotz­dem hat...

DR. ANDRÉ ZILCH

Die miss­bräuch­li­che Nut­zung der Kran­ken­ver­si­che­rungs­kar­te ko­stet das Ge­sund­heits­we­sen nach Ex­per­tenschätzun­gen jähr­lich Mil­li­ar­den. Schon 2003 wur­de des­halb die Aus­stat­tung der Kar­te mit ei­nem Licht­bild des Ver­si­cher­ten fest­ge­schrie­ben. Zeit­gleich soll­te bis zum 31. De­zem­ber 2005 die Ver­si­cher­ten­kar­te zur elek­tro­ni­schen Ge­sund­heits­kar­te (eGK) er­wei­tert wer­den. Ob­wohl die Re­du­zie­rung von Miss­brauch...

MARTIN ROST

Schutz­zie­le und Schutz­maßnah­men zählen seit Jah­ren zum bewähr­ten In­stru­men­ta­ri­um der Da­ten­si­cher­heit. Be­reits die Eu­ropäische Da­ten­schutz­richt­li­nie kennt vier Schutz­zie­le: Verfügbar­keit, In­te­grität, Ver­trau­lich­keit, Prüfbar­keit. Sol­che kon­zen­triert auf Da­ten­schutz­an­for­de­run­gen zu­ge­schnit­te­nen Schutz­zie­le gibt es im Bun­des­da­ten­schutz­ge­setz (BDSG) bis­lang nicht. Dies soll nach dem...

DR. PHILIPP KRAMER, DR. THOMAS PROBST

Sol­len Da­tei­en mit per­so­nen­be­zo­ge­nen Da­ten über das In­ter­net ver­sen­det wer­den, ver­langt das Bun­des­da­ten­schutz­ge­setz ei­ne Ver­schlüsse­lung (An­la­ge zu § 9). Da­bei sind ak­tu­el­le Ver­schlüsse­lungs­tech­ni­ken und Vor­ge­hens­wei­sen ein­zu­set­zen, die mit Rück­sicht auf die Da­ten an­ge­mes­se­ne Si­cher­heit ins­be­son­de­re ge­gen Fremd­zu­grif­fe schafft. Grund: Der Da­tei­ver­sand...

ISABEL MÜNCH

Über 230 Teil­neh­mer folg­ten der Ein­la­dung des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) zu ei­nem IT-Grund­schutz-Tag zum The­ma Vir­tua­li­sie­rung von IT-Sy­ste­men. Vir­tua­li­sie­rung bie­tet Chan­cen für mehr Si­cher­heit, bringt aber auch neue Her­aus­for­de­run­gen mit sich. Von ISABEL MÜNCH, Bonn. BSI-Fach­be­reichs­lei­ter Andre­as Könen zu­fol­ge Kann mit Vir­tua­li­sie­rung die eta­blier­te...

DR. THOMAS PROBST

Die Iden­ti­fi­ka­ti­on von In­ter­net-Nut­zern ist ein The­ma, das seit ei­ni­gen Wo­chen in­ten­siv in Pres­se, Funk und Fern­se­hen dis­ku­tiert wird. In den Pres­se­be­rich­ten wer­den un­ter­schied­li­che Ansätze dar­ge­stellt. Der Bei­trag sy­ste­ma­ti­siert die­se und stellt die Da­ten­schutz­ri­si­ken und Ge­gen­maßnah­men näher dar. Von DR. THOMAS PROBST, Kiel. Bei den eher pla­ka­ti­ven Me­dien­be­rich­ten geht...

ENIKÖ VISKY

Für die Samm­lung und zen­tra­le Spei­che­rung der im Un­ter­neh­men an­fal­len­den Log-Da­ten gibt es gu­te Gründe - und Com­p­li­an­ce-Vor­ga­ben, die re­gu­lier­te Bran­chen da­zu ver­pflich­ten. Da­mit sich der Auf­wand auch prak­tisch lohnt, soll­ten Un­ter­neh­men ei­ni­ge Din­ge be­ach­ten. Von ENIKÖ VISKY, München.* Je­de Se­kun­de er­zeu­gen in ei­nem Un­ter­neh­men Ser­ver, Netz­werk­kom­po­nen­ten und An­wen­dun­gen unzähli­ge...

DR. THOMAS PROBST

Dass auch ein re­nom­mier­tes Zer­ti­fi­zie­rungs­ver­fah­ren nicht im­mer Schutz bie­tet, muss­ten Kun­den ver­schie­de­ner Her­stel­ler (be­kannt sind Kings­ton, SanDisk und Ver­ba­tim) von ver­schlüssel­ten USB-Spei­cher­sticks fest­stel­len: In den Schlag­zei­len ein­schlägi­ger Zeit­schrif­ten konn­ten sie le­sen, dass die zer­ti­fi­zier­te Ver­schlüsse­lung ih­rer Spei­cher­sticks na­he­zu wir­kungs­los ist. Von DR....

CHRISTIAN KRAUSE, DR. THOMAS PROBST

Der Schutz vor un­lieb­sa­men Über­ra­schun­gen im In­ter­net wird im­mer wich­ti­ger. Späte­stens seit so­ge­nann­te "Dri­ve-by-Down­loads" be­reits beim ein­fa­chen Auf­ruf ei­ner Web­sei­te den Rech­ner mit Schad­code in­fi­zie­ren, wünschen sich vie­le An­wen­der, dass Links schon vor dem Anklicken ana­ly­siert wer­den können. Wel­che Ansätze gibt es und was lei­sten die Sy­ste­me? Von CHRISTIAN...

DR. THOMAS PROBST

In den vergangenen Wochen wurde eine Vielzahl von Sicherheitslücken in Webanwendungen bekannt, die nicht nur in der IT-Sicherheits-Community, sondern auch in der breiteren Öffentlichkeit diskutiert wurden. Ein Vorfall mit besonderem Personenbezug betraf auch das soziale Netzwerk SchülerVZ. Von DR. THOMAS PROBST, Kiel. Allen Lücken war gemeinsam, dass sie Webanwendungen betrafen,...

ISABEL MÜNCH

Eine gelungene Premiere feierte die IT-Security- Messe it-sa (siehe DSB 11/09, Seite 17). Beim 3. IT-Grundschutztag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) informierten sich am 14. Oktober rund zweihundert Teilnehmer über die Umsetzung von Informationssicherheit in der betrieblichen Praxis von kleineren Organisationen. Hieran nahmen neben den vielen angemeldeten...

ISABEL MÜNCH

Am 22. September 2009 veranstaltete das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit dem Informatikzentrum der Sparkassen-Organisation GmbH in Bonn (SIZ) seinen 2. IT-Grundschutz-Tag im Jahr 2009. Ein Schwerpunkt lag auf dem Umgang mit Sicherheitsvorfällen, deren Ursachen, Prävention sowie der Fortführung des Geschäftsbetriebs nach Sicherheitsvorfällen....

THOMAS PROBST

Das Thema Patching, also die Versorgung mit (sicherheitsrelevanten) Software-Updates, beschäftigt IT-Verantwortliche täglich - zumindest sollte es das. Im Hinblick auf die aktuellen Bedrohungen ist aber unklar, ob die Anstrengungen ausreichen oder zumindest durch richtige Priorisierung Verbesserungen erreicht werden. Von DR. THOMAS PROBST, Kiel. Auf Ebene der Betriebssysteme...

THOMAS PROBST

Hinter dem sperrigen Titel "Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung" verbirgt sich ein 88-seitiger Leitfaden, der die Rolle der IT bei der Umsetzung der vielfältigen Compliance-Anforderungen darstellt. Ziel ist es, zunächst eine gemeinsame Sprache für Geschäftsführung, IT-Verantwortliche und Compliance-Verantwortliche zu schaffen und darzustellen,...