MARTIN ROST

Schutz­zie­le und Schutz­maßnah­men zählen seit Jah­ren zum bewähr­ten In­stru­men­ta­ri­um der Da­ten­si­cher­heit. Be­reits die Eu­ropäische Da­ten­schutz­richt­li­nie kennt vier Schutz­zie­le: Verfügbar­keit, In­te­grität, Ver­trau­lich­keit, Prüfbar­keit. Sol­che kon­zen­triert auf Da­ten­schutz­an­for­de­run­gen zu­ge­schnit­te­nen Schutz­zie­le gibt es im Bun­des­da­ten­schutz­ge­setz (BDSG) bis­lang nicht. Dies soll nach dem...

DR. PHILIPP KRAMER, DR. THOMAS PROBST

Sol­len Da­tei­en mit per­so­nen­be­zo­ge­nen Da­ten über das In­ter­net ver­sen­det wer­den, ver­langt das Bun­des­da­ten­schutz­ge­setz ei­ne Ver­schlüsse­lung (An­la­ge zu § 9). Da­bei sind ak­tu­el­le Ver­schlüsse­lungs­tech­ni­ken und Vor­ge­hens­wei­sen ein­zu­set­zen, die mit Rück­sicht auf die Da­ten an­ge­mes­se­ne Si­cher­heit ins­be­son­de­re ge­gen Fremd­zu­grif­fe schafft. Grund: Der Da­tei­ver­sand...

ISABEL MÜNCH

Über 230 Teil­neh­mer folg­ten der Ein­la­dung des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) zu ei­nem IT-Grund­schutz-Tag zum The­ma Vir­tua­li­sie­rung von IT-Sy­ste­men. Vir­tua­li­sie­rung bie­tet Chan­cen für mehr Si­cher­heit, bringt aber auch neue Her­aus­for­de­run­gen mit sich. Von ISABEL MÜNCH, Bonn. BSI-Fach­be­reichs­lei­ter Andre­as Könen zu­fol­ge Kann mit Vir­tua­li­sie­rung die eta­blier­te...

DR. THOMAS PROBST

Die Iden­ti­fi­ka­ti­on von In­ter­net-Nut­zern ist ein The­ma, das seit ei­ni­gen Wo­chen in­ten­siv in Pres­se, Funk und Fern­se­hen dis­ku­tiert wird. In den Pres­se­be­rich­ten wer­den un­ter­schied­li­che Ansätze dar­ge­stellt. Der Bei­trag sy­ste­ma­ti­siert die­se und stellt die Da­ten­schutz­ri­si­ken und Ge­gen­maßnah­men näher dar. Von DR. THOMAS PROBST, Kiel. Bei den eher pla­ka­ti­ven Me­dien­be­rich­ten geht...

ENIKÖ VISKY

Für die Samm­lung und zen­tra­le Spei­che­rung der im Un­ter­neh­men an­fal­len­den Log-Da­ten gibt es gu­te Gründe - und Com­p­li­an­ce-Vor­ga­ben, die re­gu­lier­te Bran­chen da­zu ver­pflich­ten. Da­mit sich der Auf­wand auch prak­tisch lohnt, soll­ten Un­ter­neh­men ei­ni­ge Din­ge be­ach­ten. Von ENIKÖ VISKY, München.* Je­de Se­kun­de er­zeu­gen in ei­nem Un­ter­neh­men Ser­ver, Netz­werk­kom­po­nen­ten und An­wen­dun­gen unzähli­ge...

DR. THOMAS PROBST

Dass auch ein re­nom­mier­tes Zer­ti­fi­zie­rungs­ver­fah­ren nicht im­mer Schutz bie­tet, muss­ten Kun­den ver­schie­de­ner Her­stel­ler (be­kannt sind Kings­ton, SanDisk und Ver­ba­tim) von ver­schlüssel­ten USB-Spei­cher­sticks fest­stel­len: In den Schlag­zei­len ein­schlägi­ger Zeit­schrif­ten konn­ten sie le­sen, dass die zer­ti­fi­zier­te Ver­schlüsse­lung ih­rer Spei­cher­sticks na­he­zu wir­kungs­los ist. Von DR....

CHRISTIAN KRAUSE, DR. THOMAS PROBST

Der Schutz vor un­lieb­sa­men Über­ra­schun­gen im In­ter­net wird im­mer wich­ti­ger. Späte­stens seit so­ge­nann­te "Dri­ve-by-Down­loads" be­reits beim ein­fa­chen Auf­ruf ei­ner Web­sei­te den Rech­ner mit Schad­code in­fi­zie­ren, wünschen sich vie­le An­wen­der, dass Links schon vor dem Anklicken ana­ly­siert wer­den können. Wel­che Ansätze gibt es und was lei­sten die Sy­ste­me? Von CHRISTIAN...

DR. THOMAS PROBST

In den vergangenen Wochen wurde eine Vielzahl von Sicherheitslücken in Webanwendungen bekannt, die nicht nur in der IT-Sicherheits-Community, sondern auch in der breiteren Öffentlichkeit diskutiert wurden. Ein Vorfall mit besonderem Personenbezug betraf auch das soziale Netzwerk SchülerVZ. Von DR. THOMAS PROBST, Kiel. Allen Lücken war gemeinsam, dass sie Webanwendungen betrafen,...

ISABEL MÜNCH

Eine gelungene Premiere feierte die IT-Security- Messe it-sa (siehe DSB 11/09, Seite 17). Beim 3. IT-Grundschutztag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) informierten sich am 14. Oktober rund zweihundert Teilnehmer über die Umsetzung von Informationssicherheit in der betrieblichen Praxis von kleineren Organisationen. Hieran nahmen neben den vielen angemeldeten...

ISABEL MÜNCH

Am 22. September 2009 veranstaltete das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit dem Informatikzentrum der Sparkassen-Organisation GmbH in Bonn (SIZ) seinen 2. IT-Grundschutz-Tag im Jahr 2009. Ein Schwerpunkt lag auf dem Umgang mit Sicherheitsvorfällen, deren Ursachen, Prävention sowie der Fortführung des Geschäftsbetriebs nach Sicherheitsvorfällen....

THOMAS PROBST

Das Thema Patching, also die Versorgung mit (sicherheitsrelevanten) Software-Updates, beschäftigt IT-Verantwortliche täglich - zumindest sollte es das. Im Hinblick auf die aktuellen Bedrohungen ist aber unklar, ob die Anstrengungen ausreichen oder zumindest durch richtige Priorisierung Verbesserungen erreicht werden. Von DR. THOMAS PROBST, Kiel. Auf Ebene der Betriebssysteme...

THOMAS PROBST

Hinter dem sperrigen Titel "Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung" verbirgt sich ein 88-seitiger Leitfaden, der die Rolle der IT bei der Umsetzung der vielfältigen Compliance-Anforderungen darstellt. Ziel ist es, zunächst eine gemeinsame Sprache für Geschäftsführung, IT-Verantwortliche und Compliance-Verantwortliche zu schaffen und darzustellen,...

THOMAS PROBST

Cloud Computing als neues Schlagwort bezeichnet eine Datenverarbeitung, deren genaue Örtlichkeiten nicht explizit festgelegt sind. Datenschutz- und Datensicherheitsaspekte sowie eine mögliche "Cloud Security"-Dienstleistung verdienen eine genauere Betrachtung. Von DR. THOMAS PROBST, Kiel. Vergleichbar mit der üblichen wolkigen Darstellung des Internets werden beim Cloud Computing...

BERND HOHGRÄFE und SEBASTIAN JACOBI

Wird ein Passwort mehrfach falsch eingegeben und eine Anwendung dadurch gesperrt, muss der Zugangscode zurückgesetzt werden. Das ist umständlich und kostet Zeit. Erleichterung und Kosteneinsparung versprechen Systeme, die - automatisiert - mit biometrischer Sprach- und Stimmerkennung arbeiten. Von BERND HOHGRÄFE und SEBASTIAN JACOBI, Essen.* Passwörter sind praktisch und werden vielfach eingesetzt....

Schadsoftware kann über viele Wege in den eigenen Rechner gelangen. In grauer Vorzeit wurde Viren über Disketten verbreitet, später und bis heute über E-Mail-Anhänge. Aktuell sind Bedrohungen durch sogenannte Drive-by-Downloads, bei denen beim Besuch von Webseiten nicht nur die gewünschten Texte, Graphiken, Videos und Flash-Animationen, sondern en passant noch weitere (ungewollte oder schädliche)...

SABINE FACH

Datenbankbasierte Anwendungen stellen besondere Anforderungen an die Auswahl eines geeigneten Virenschutzes. Lokaler Virenschutz ist ebenso wenig gern gesehen wie die Beschränkung auf rein signaturbasierte Scanner. Zur Absicherung ihrer neuen ECM-Lösung (Enterprise Content Management) Alfresco hat sich die Bauer AG deshalb für den Malwarescanner Norman Network Protection entschieden....

ISABEL MÜNCH

Am 23. Juni feierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Stadthalle Bonn Bad Godesberg das 15-jährige Bestehen des IT-Grundschutzes. 1994 erschien das erste Grundschutz- Handbuch des BSI. Rund 250 Teilnehmer diskutierten über Erfolge und künftige Herausforderungen der IT-Grundschutz-Methodik. Von ISABEL MÜNCH, Bonn. BSI-Präsident Dr. Udo Helmbrecht...

MARTIN WEIGEL

Kaum ein Thema wird in der Geschäftswelt heute so heiß diskutiert wie Unified Communications, also die Verknüpfung unterschiedlicher Kommunikationskanäle und deren Integration in IT-Anwendungen. Das liegt auch daran, dass der dafür notwendige Umstieg auf Voice over IP eine Reihe von Risiken birgt. Vor allem bei vielen Mittelständlern fehlt nicht nur das notwendige Bewusstsein,...

MARTIN WEIGEL

Kaum ein Thema wird in der Geschäftswelt heute so heiß diskutiert wie Unified Communications, also die Verknüpfung unterschiedlicher Kommunikationskanäle und deren Integration in IT-Anwendungen. Das liegt auch daran, dass der dafür notwendige Umstieg auf Voice over IP eine Reihe von Risiken birgt. Vor allem bei vielen Mittelständlern fehlt nicht nur das notwendige Bewusstsein,...

INGO PETERS

Die Arbeitsgruppe Identitätsschutz im Internet e.V. (kurz a-i3) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) führten am 23. und 24. März 2009 an der Ruhr-Universität Bochum das vierte interdisziplinäre Symposium durch. Etwa 140 Teilnehmer aus Wissenschaft, Industrie, Politik und Strafverfolgungsbehörden diskutierten dabei die Gefahren und Schutzmöglichkeiten...

WILLI KAFITZ, DIRK WEISSENBACHER

Wenn ein elektronisches Dokument das Unternehmen verlässt, ist der Einfluss auf den Umgang mit den darin enthaltenen Informationen weitgehend verloren. Doch Schutz vor unbefugter Nutzung ist möglich - mit Hilfe von Enterprise Rights Management (ERM). Von Dr. WILLI KAFITZ, Frankfurt/Main und DIRK WEISSENBACHER, Essen. * Wenn vertraulich gemeinte E-Mails weitergeleitet...

Die Studie zu den "Kosten von Datenpannen in Deutschland" des Ponemon-Institute, über die in der letzten Ausgabe berichtet wurde (DSB 4/09, Seite 15), ist über die Firma PGP nach einer kostenlosen Registrierung verfügbar. Auch die Studien zu Großbritannien und den USA können heruntergeladen werden. Die Redaktion bittet die versehentliche Nennung der Website des Europäischen Datenschutzbeauftragten...

THOMAS PROBST

Eine ungeregelte und unkontrollierte Nutzung von USB-Speichermedien birgt einige Gefahren für Datenschutz und Datensicherheit: Neben dem Einschleppen von Schadsoftware können Daten unbemerkt abfließen oder bei Verlust der Speichermedien in falsche Hände geraten. Von DR. THOMAS PROBST, Kiel. Die Gefahren durch USB-Sticks sind vielfältig: Ist die Autostart-Version für Datenträger...

HOLGER KOCH

Unternehmen haben bei Datenpannen den Vertrauensverlust von Kunden, den Imageverlust durch die öffentliche Diskussion und Einbußen wegen des Verlustes von Kunden zu verzeichnen. Auch die Gefahr, dass vertrauliche unternehmensinterne Daten, Daten aus Forschung und Entwicklung oder sonstiges geistiges Eigentum in fremde Hände gelangen, kann Unternehmen erheblich schädigen. Eine aktuelle Studie untersucht...

ISABEL MÜNCH

Beim IT-Grundschutztag am 12. Februar 2009, veranstaltet vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Fraunhofer-Institut für Sichere Informationstechnologie SIT und dem Center for Advanced Security Research Darmstadt (CASED), bildete die Informationssicherheit in der Produktion einen besonderen Schwerpunkt. Von ISABEL MÜNCH, Bonn. Das "IT-Grundschutz-Profil...

Ihr Datenschutzbeauftragter informiert Die Briten haben angesichts zahlreicher Datenpannen im letzten Jahr - durchaus vergleichbar mit den vagabundierenden Datenbanken in Deutschland - in einer Momentaufnahme in London erschreckende Zahlen von vernachlässigtem Sicherheitsbewusstsein zutage gefördert: Umfragen unter Londoner Reinigungsunternehmen ergaben, dass 2008 rund 9.000 vergessene USB-Sticks...

THOMAS PROBST

Die Firma Voltage Security hat neue Anwendungen ihrer Verschlüsselungsverfahren vorgestellt: Zum einen so genannte Format-Preserving Encryption (Datenformaterhaltende Verschlüsselung), zum anderen Identity-Based Encryption (Identitätsbasierte Verschlüsselung). Der Beitrag untersucht die Verfahren auf ihre Praxistauglichkeit. Von DR. THOMAS PROBST, Kiel. Ziel der Format-Preserving...

MICHAEL PETERS

Um wichtige Daten vor Missbrauch oder Industriespionage zu schützen, kann heute kein Unternehmen mehr auf umfassende Maßnahmen zur IT-Sicherheit verzichten. Doch trotz aller Schutzmechanismen - Sicherheitslücken gibt es nach wie vor viele. So fehlen beispielsweise häufig https-Scanner, die verschlüsselte https-Verbindungen analysieren können. Und auch der weit verbreitete Einsatz...

THOMAS PROBST

Der Begriff "Bürgerportal" ist schon seit der Ce- BIT 2008 Teil einschlägiger Publikationen und Bemühungen des Bundesinnenministeriums (BMI), eine Infrastruktur für eine verlässliche E-Mail- Kommunikation zu schaffen. Dies soll unter staatlicher Aufsicht durch private Stellen geschehen. Eine erstes "Pionierprojekt" in Friedrichshafen zusammen mit der Deutschen Telekom wurde für Mitte 2009 angekündigt....

THOMAS MÖRWALD

In vielen IT-Umgebungen werden Log-Meldungen heutzutage stiefmütterlich behandelt. Erst bei einem konkreten Schadensfall erfolgt eine Analyse - die sich meist auf das System beschränkt, das als unmittelbare Ursache für das Problem identifiziert wurde. Damit unterbleibt eine Verknüpfung von Log-Meldungen, die aber schon für das Erkennen einfachster Zusammenhänge notwendig wäre....