2.5.2012 von Andreas.

Von Seiten der IHK Cottbus erhielt ich folgende Einladung:

Sehr geehrte Damen und Herren,

“IT- und Datensicherheit im Unternehmen”
am: Dienstag, den 5. Juni 2012, 13:00 Uhr bis 18:30 Uhr
in der: IHK Cottbus, Goethestraße 1, 03046 Cottbus, Raum 6/7 (Goethesaal)

Weitere Informationen und auch die Anmeldung sind hier erhältlich

Geschrieben in Sicherheit | Drucken | Keine Kommentare »

2.5.2012 von Andreas.

Viele Internetnutzer antworten auf die Frage, ob jeglicher Datenverkehr im Netz gleich behandelt wird, mit ja. Diese Gleichbehandlung aller Daten bezeichnet man als “Best Effort-Prinzip”. Viele Telekommunikationsfirmen verstoßen laut einer Studie bereits heute dagegen.

Schon bei der Übertragung der Daten im Mobilfunknetz stößt man auf erste Sperren, die sich dem unterschiedslosen Datenverkehr in den Weg stellen. Die Blockade oder das Ausbremsen von VOIP-Datenpaketen ist hier weit verbreitet. Gleiches trifft auf viele Datenpakete aus dem Peer-to-Peer-Verkehr (P2P) zu. Um diesen Datenpaketen auf die Schliche zu gelangen, wird vielfach auf die Deep Packet Inspection (DPI) gesetzt. Damit wird der gesamte Datenverkehr durchleuchtet.

Diese Überwachung an der Schnittstelle zum Nutzer (User-Network-Interface) wird vielfach mit der “Sicherheit und Integrität” des Netzes begründet. Hat aber die Steuerung des Netzes zugunsten der eigenen VOIP- und Streamingangebote etwas mit der Integrität des Netzes zu tun?

Hier sollte schnellstens von Seiten der Regulierungsbehörden eingegriffen werden. Leider ist bisher trotz intensiver Diskussionen auf unterschiedlichen Ebenen noch keine gesetzliche Regelung im Blick. Die letzte große Chance wurde vertan (Novellierung des Telekommunikationsgesetzes).

Den Informationen von gruen-digital zu Folge ist der bundesdeutschen Regierung auch nicht an einer Kurskorrektur bezüglich der Netzneutralität gelegen. Die ökonomische Seite des Internets scheint hier z.Zeit noch die Oberhand zu behalten, ist bei einer regularischen Änderung zur “wahren” Netzneutralität so manches Geschäftsmodell zu überdenken.

Geschrieben in Infrastruktur & Netze | Drucken | Keine Kommentare »

29.1.2012 von Andreas.

Viele Zugangsprovider verfolgen schon seit Monaten das Ziel an den Erlösen von Contentbereitstellern wie Google, Youtube und auch den Mediatheken der Fernsehsender beteiligt zu werden. Dies würde das Aus für die Neutralität der Kommunikationsnetze bedeuten.

Könnten die Zugangsnetzbereiber für die Einspeisung dieses Contents von den Bereitstellenden Einspeiseentgelte verlangen, würde ein zweiseitiger Markt entstehen und die Einspeisung könnte bei Nichtentrichtung des Entgeltes verwehrt werden. Der Netznutzer, der durch den entsprechenden Zugangsprovider versogt wird, hat dann keinen Zugriff mehr auf diese Inhalte und würde damit in seinen Rechten eingeschränkt sein.

Sollte es zu diesen “Durchleitegebühren” kommen, würde peu à peu die Netzneutralität aufgehoben werden und die Konnektivität des Einzelnen wäre eingeschränkt.

Ein ähnliches Modell verfolgten bis jetzt die Breitbandkabelnetzbereiber in Deutschland. Diese kassieren bis jetzt 2x. Einmal über die Endkundenanschlüsse und ein weiteres mal auf der anderen Seite der Leitung von den Einspeisenden wie z.B. ARD, RTL oder ZDF. Das Nachsehen haben hier die kleineren Netzbetreiber, denn bisher bekamen diese von dem Kuchen nichts ab.

Die öffendlich-rechtlichen Sender haben nun auf Grund der Einsparvorgaben der KEF (Kommission zur Ermittlung des Finanzbedarfs der Rundfunkanstalten) diese Einspeiseentgelte gekippt. Damit dürften die Tage der zweiseitigen Vermarktung in den Breitbandkabelnetzen gezählt sein.

Gelingt es hier ein zweiseitiges Marktmodell abzuschaffen, sollte es auch möglich sein, dieses Modell mit seinen oben genannten Nachteilen in den anderen Kommunikationsnetzen erst gar nicht entstehen zu lassen und so die Netzneutralität zu waren.

Geschrieben in Infrastruktur & Netze | Drucken | Keine Kommentare »

11.12.2011 von Andreas.

Rummms, da ist er wieder.

Glaubte ich den Journalisten G. Schnurer seit der Einstellung von c’t-TV doch als verschollen (was ich sehr schade fand) , taucht er wie Orpheus aus der Asche im Editoral der ct 26/11 wieder auf. Applaus! Auch mein persönliches Empfinden trifft er wieder. Nur leider befinde ich mich auf der Seite der Doppelkorntrinker. Prost!

Diesbezüglich belauschte ich eine Pausendiskussion unter Umschülern im IT-Bereich, die wunderbar in dieses Editorial passt;

–>

Tja, die Politik. Ist sie doch stetig und permanent, auch verlässlich ist sie. Wie immer greift sie und ihre Marionetten rückwirkend ein. Sind die Teilnehmer doch fasziniert, ist es einigen doch bis jetzt nicht gelungen rückwirkend beim Finanzamt etwas geltend zu machen (vielleicht kann man hier ein paar Tipps aus dem Bereich der Rechteverwertung erhalten???). Kann es sein, dass das Finanzamt nicht der Politik untersteht?

…weiter…

Da die politische Elite dem Gebahren der ZPÜ keinen Riegel vorschiebt und auch diesbezüglich keine Aktivitäten zur Resonierung der entgleisten ZPÜ (Orginalzitat, weiss aber nicht mehr, wer es war.) erkennen läßt, denke ich, es wird an der Zeit die “Möchtegernurheberechtsbewahrer” den politischen Orkus hinunterzuspülen. Ein Problem tut sich hier auf; sollte es klar denkenden Köpfen nicht gelingen, dieses “hinunterspülen” in kompostierbaren Abfall enden zu lassen, wären die Endlager wie Gorleben über Generationen hinaus überfüllt.

Prost!

<–

Diese rückwirkenden Festlegungen werden die Preise in dem momentan sehr preissensiblen Markt in die Höhe treiben, da die rückwirkend fälligen Abgaben irgendwie umgelegt werden müssen. Über die festgelegten Höhen der einzelnen “Urheberrechtsabgaben” lässt sich trefflich streiten, lassen diese sich in der Form nicht nachvollziehen. Eine Offenlegung der Grundlagen zur Erarbeitung der festgelegten Abgabenbeiträge könnte hier vielleicht einen Rest Glaubwürdigkeit der ZPÜ erhalten.

Geschrieben in Sammelsurium | Drucken | Keine Kommentare »

20.9.2011 von Andreas.

Nein, nicht das Murmeltier, sondern die Spam-Mail. Seit dem Frühjahr 2011 sinkt die Zahl der weltweit verschickten Spam-Mails. Ursache ist hier der erfolgreiche Kampf, insbesondere Microsoft’s gegen das Botnetz "Rustock" gewesen. Damit gelang es etwa 1 Millionen verseuchter PC’s die Fernsteuerung zu entziehen. Diesen gelang es zu Spitzenzeiten ca. 30 Milliarden dieser "Müll-Mails" zu verschicken. Doch damit ist noch lange nicht Ruhe an dieser Front.

Mittlerweile werden die Spam-Versender immer professioneller und erreichen ein immer höheres Täuschungspotential, erklären die Mitarbeiter des BSI. Um die Akzeptanz gerade im deutschsprachigen Raum zu erhöhen, bemühen die Versender sich, die deutsche Sprache fehlerfrei zu beherrschen. Neben der Spam_Versendung bemühen sich einige auch um Zugriffe auf Bank- bzw. Onlineshop-Daten. In den letzten Tagen konnte ich hier eine Zunahme gerade auf die Zugangsdaten des Onlinehändlers amazon beobachten.

Aus diesem Grund bitte immer die Shopseiten direkt im Browser aufrufen und nie aus der Mail heraus, da hierbei die Gefahr besteht, auf den entsprechenden manipulierten Seiten der Grabber zu landen.

Geschrieben in Sicherheit | Drucken | Keine Kommentare »

15.9.2011 von Andreas.

Skimming. Ein englischer Begriff, mit dem die wenigsten etwas anfangen können. Das deutsche Pendant ist da schon geläufiger, steht Skimming doch für Abschöpfen. Gemeint ist damit das illegale Auslesen der Kreditkartendaten. Dies geschieht häufig an Bankautomaten. Wie, das können Sie hier nachlesen.
Da die Banken und Kreditinstitute das Problem kennen und dabei immer mehr Aufwand betreiben, dieses Abschöpfen am Bankautomaten zu verhindern, weichen die Kriminellen nun auf die Terminals in Baumärkten, Restaurants und anderen Geschäften aus. Auch wenn das Terminal über ein verschlüsseltes erfahren auf den Kartenchip zugreift und ein auslesen hier ohne weiteres nicht möglich ist, befindet sich doch der Magnetstreifen nach wie vor aus Kompaktibilitätsgründen auf der Karte und kann durch den Einsatz eines modifizierten Terminals zusätzlich ausgelesen werden. Die PIN wird bei der Eingabe im Terminal mitgeloggt.

Geschrieben in Sicherheit | Drucken | Keine Kommentare »

18.7.2011 von Andreas.

Nach dem Archivierungsstandard PDF/A hat nun die ISO den zweiten Teil PDF/A-2 veröffentlicht. Während dem ersten Teil der PDF-Standard 1.4 zugrunde liegt, basiert PDF/A-2 auf PDF 1.7, welches nun ebenfalls zum ISO-Standard (ISO 32000-1) erhoben wurde. Hiermit wird nun die Nutzung von digitalen Signaturen (PADeS), Bildkompression, Transparenz und Ebenen erlaubt. Auch OpenType-Fonts und PDF/A-Dokumente können in den Nachfolger eingebettet werden.

Geschrieben in Archivierung | Drucken | Keine Kommentare »

4.8.2009 von Andreas.

Wie lassen sich eMail’s rechtskonform archivieren? Diese Frage stellt sich mittlerweile jedem beruflichem eMailempfänger, besteht dazu schon seit geraumer Zeit eine gesetzliche Pflicht.

Auf dem ersten Blick entsteht vielfach die Meinung; wenn ich meine Mails auf CD brenne und im Keller aufbewahre, habe ich doch mein Pflicht zur Archivierung erfüllt. Dem ist aber nicht so. Der Gesetzgeber hat hier in einigen Gesetzen und Verordnungen genau vorgeschrieben, welche Voraussetzungen solch ein Archiv erfüllen muss. Leider nehmen diese auch keinen Bezug untereinander, so das mittlerweile ein Wust aus Vorgaben entstanden ist.

Der Verband Organisation’s- und Informationssysteme (VOI) hat sich die Mühe gemacht zu filtern und als Richtschnur die zehn goldenen Regeln definiert, die obige Archivsysteme erfüllen müssen, um revisionssicher zu gelten. Dabei beziehen diese Regeln sich nicht nur auf eMails, sondern auf Dokumente aller Art.

1. Jedes Dokument muss ordnungsgemäß nach Maßgabe der organisationsinternen und rechtlichen Anforderungen aufbewahrt werden.
2. Kein Dokument darf im Archiv oder auf dem Wege dorthin verloren gehen.
3. Jedes Dokument ist organisatorisch frühstmöglich zu archivieren.
4. Jedes archivierte Dokument muss mit seinem Original übereinstimmen und darf nicht mehr veränderbar sein.
5. Jedes Dokument darf nur von den berechtigten Benutzern eingesehen werden.
6. Jedes Dokument muss reproduziert und in angemessener Zeit wiedergefunden werden.
7. Jedes Dokument muss bis zum Ende seiner Aufbewahrungsfrist im Archiv existent sein.
8. Im elektronischen Archivsystem muss jede Änderung für die Berechtigten nachvollziehbar protokolliert werden.
9. Das technische und organisatorische Verfahren der Archivierung muss jederzeit durch einen Sachverständigen geprüft werden können.
10. Bei allen Änderungen, Konvertierungen und Migrationen am Archivsystem muss die Einhaltung vorheriger Grundsätze sichergestellt sein.

Aus obigen Gründen empfiehlt sich der Einsatz einer speziellen Archivlösung. Da durch den Gesetzgeber das Archivierungsverfahren nicht explizit vorgeschrieben ist, gibt es nun die Auswahl unter mehreren Möglichkeiten. So gibt es hausinterne Software-, aber auch Hardwarelösungen. Ein Outsourcing an andere auf Archivierung spezialisierte Unternehmen ist ebenfalls möglich.

Da die rechtssichere Archivierung alles andere als trivial ist und gesetzlichen Vorgaben sich zum Teil widersprechen, ist ein Unternehmen gut beraten, sich mit diesem Thema näher auseinander zu setzen. Spätestens wenn die Finanzämter flächendeckend auf die "elektronische Betriebsprüfung" in ihren drei Formen zugreifen, droht jede Menge Ungemach. Auch das Strafgesetzbuch schwebt als Damoklesschwert über die Verantwortlichen. Sieht der § 283b StGB doch für eine Verletzung der Buchführungspflichten im Falle des fahrlässigen Handelns eine Freiheitsstrafe von bis zu einem Jahr vor.

Eine verbindliche betriebliche Regelung im Umgang mit eMails ist daher Pflicht.

 Das Gute nun noch zu Schluss. In der juristischen Literatur wird die Meinung vertreten, das die Emailarchivierungspflicht für für jeden Kaufmann gilt. Das sind laut BGB Handelsgesellschaften, eingetragene Genossenschaften und juristische Personen im Sinne des §33 des HGB.

Welche rechtlichen Grundlagen bei der Archivierug zu beachten sind und welche Lösungen es in diesem Bereich gibt, möchte ich in einem weiteren Beitrag behandeln.

Geschrieben in Archivierung | Drucken | 1 Kommentar »

22.6.2009 von Andreas.

Ein mehrseitiger Artikel in der ct 14/09 über die Synchronisationsmöglichkeiten persönlicher Daten zwischen PC’s und PDA’s inspirierte mich zum Schreiben dieses Eintrages.

Vor ca. 6 Monaten stand ich vor dem gleichen Problem der Synchronisation meiner Kontakte und des Kalenders. Wobei diese auf dem Handy mit Windows mobile und einer zentral über das Netz erreichbaren Stelle abgeglichen werden sollten.  Wenn möglich, sollte das ganze über Freeware gelöst werden. Nach umfangreichen Experimenten mit Lightning und dem Windows-Kalender fand ich bei AOL die Möglichkeit.

Das AOL-eMail-Konto beinhaltet neben seiner eigentlichen Aufgabe eine Kontaktverwaltung und einen Kalender. Im Gegensatz zu anderen Freemailern bietet AOL aber die Software Funambol für die Synchronisierung von PC und PDA mit diesem AOL-Konto an. Genauere Informationen zur Einrichtung kann ich gern zur Verfügung stellen.

Die Weboberfläche erreicht zwar nicht ganz die Qualität und Ergonomie von Outlook, ist aber doch recht ansprechend. Auch bietet sie eine Änderung der Kalenderansicht und hierzu entsprechende Druckmöglickeiten. 

Geschrieben in Mobil | Drucken | 1 Kommentar »

14.6.2009 von Andreas.

Updates und Patches von Microsoft erscheinen in der Regel einmal pro Monat. Wie man sich darauf vorbereitet zeigt dieser Newsletter.

Zuerst Einmal im Monat veröffentlicht Microsoft neue Sicherheits-Bulletins. Nun liegt es am Administrator des Unternehmens, zu entscheiden welche Updates und Patches eingespielt werden sollen. Das Risiko, das ein Patch die Verfügbarkeit der Unternehmens-IT beeinträchtigt, ist nicht zu vernachlässigen. Mit Unterstützung des WSUS (Windows Server Update Service), lässt sich das Leben erleichtern. 

Denkt man einige Jahre zurück, bestand der Aktualisierungsservice von Microsoft darin, eine Liste von verfügbaren Patches zur Verfügung zu stellen, worin sich der Nutzer selbst bedienen musste. Heute gibt es den automatischen Aktualisierunsservice bis hin zu umfangreichen Lösungen für das Patchmanagement. Leider unterlassen es viele KMU’s trotz der heute angebotenen Hilfen einen Plan für die Aktualisierungsverwaltung aufzustellen und ihn umzusetzen.

Ich möchte in dieser Abhandlung eine Möglichkeit des Patchmanagementes für KMU am Beispiel der MS-Software vorstellen. Microsoft nutzt immer den 2. Dienstag des Monats als "Patch-Day", offiziell Security Bulletin-Tag genannt. Dies ist der Tag, an dem die Softwareschmiede aktuelle Patches und Updates für Windows und Office zur Verfügung stellt. Auf diesen zweiten Dienstag im Monat baut nun die Ent sprechende "Patchmanagementstrategie" auf.

Beginnen wir zuerst mit den technischen Voraussetzungen. Zur Installation des Windows Server Update Services (WSUS) wird ein lauffähiger Windows 2003 Server benötigt. Bevor der WSUS-Server installiert werden kann, muss auf dem Server der IIS laufen und alle aktuellen Servicepacks und Patches sollten enthalten sein. Detailliertere Informationen zu den Installationsvoraussetzungen finden Sie auf den Microsoftwebseiten (www.microsoft.com/windowsserversystem/updateservices/evaluation/sysreqs.mspx). Hardwaremäßig sind 512 MB RAM und ca. 10 GB auf der Festplatte notwendig. Wenn möglich sollte man sich ein Secure-Sockets-Layer-Zertifikat beschaffen. Ein Active Directory ist nicht nötig, erleichtert aber die Verwaltung.

Nun können wir mit der Planung und der Konfiguration beginnen. Der Zeitplan für den Test und die Verteilung der Patches ist davon abhängig, welche Priorität der ununterbrochenen Nutzungsdauer des Systems für die im Unternehmen notwendigen Aufgabenbereiche eingeräumt werden. Ebenfalls eine Rolle spielt, wie Kritisch eine Programmkorrektur ist. Diese beiden Punkte stehen im Widerspruch, denn wer lässt schon gerne ein System länger ungeschützt, wie notwendig. Auf der anderen Seite möchte man die Patches vorher gründlich auf ihre Verträglichkeit mit den Systemen testen.

Mit diesem Wissen lassen sich nun 3 Verteilgruppen kreieren. 1. Gruppe ist die Testgruppe, welche eine Auswahl repräsentativer Systeme, die nicht unbedingt Geschäftskritisch sind, enthält. Die zweite Gruppe beinhaltet die kritischen Systeme und in der dritten Gruppe befinden sich alle anderen in das Patchmanagement einbezogenen Systeme. Diese sind nun im WSUS anzulegen.

In der ersten Woche eines Monats bereitet man sich auf die Aktualisierungen vor, dazu wird im WSUS auf neue Systeme geprüft und anschließend ein Bericht erzeugt. Dort genannte Probleme sind vor den weiteren Schritten zu beseitigen. Nun wird am 1. Donnerstag die Mikrosoftwebseite (www.microsoft.com/technet/security/bulletin/summary.mspx) aufgesucht. Hier findet sich eine Zusammenfassung aller in diesem Monat geplanten Patches. Zwar fehlen noch Details aber man erhält einen Überblick über die geplanten Patches und kann dabei gleich die selbst geplanten Änderungen formell dokumentieren (die Dokumentation ist in den Unternehmen unterschiedlich, je nach Richtlinie). Wer kann, sollte sich für den Security-Bulletin-Webcast anmelden. Dieser erscheint immer am Tag nach der Patchveröffendlichung (Mittwoch).

Am Montag in der zweiten Woche sind noch alle offenen Fragen zu klären, damit alles für das Update am Dienstag bereit ist. Der Testgruppe sollte man am Montag noch eine eMail senden, um sie auf die Aktualisierungen am nächsten Tag vorzubereiten.

Am Dienstag gegen 02:00 Uhr MEZ veröffentlicht Microsoft die Bulletins, das heisst zu Beginn des Arbeitstages bei www.microsoft.com/technet/security/current.aspx vorbeizuschauen. Unter dem Link "Get Security Bulletin Notifications" im rechten Teilfenster befinden sich die "Really Simple Syndication"-Informationen. Diese lassen sich abonnieren, um die Aktualisierungen direkt zu erhalten. Hierbei sollte man sich die Zeit nehmen, die Einzelnen in Betracht kommenden Bulletins eingehend zu prüfen um evtl. Hinweise für die Vorgehensweise sowie Nebenwirkungen zu finden. Mitunter ergeben sich auch Tipps um die Schwachstelle bis zur Beseitigung zu schützen. Dies kann Einfluss auf die Dauer bis zur Patcheinspielung haben. Eine lohnenswerte Fundgrube ist www.securityfocus.com. Hier veröffentlichen viele Unternehmen ihre eigenen detaillierten Anweisungen zum Ent sprechenden Patchmanagement.

Der erste Einsatz der neuen Patches sollte ausschließlich die Testgruppe betreffen. Alle anderen Gruppen werden nur auf "Erkennen" eingestellt. Der Stichtag zum Einspielen der Updates muss bei der Testgruppe daher in der Vergangenheit liegen.

Um den produktiven Betrieb nicht zu gefährden, ist es angebracht, die Patches vor Einsatz zu testen. Einige Unternehmen haben die Testprozedur fest vorgeschrieben, andere begnügen sich mit einem anschließenden Neustart. Auf alle Fälle sollte man sicherstellen, das alle benötigten Anwendungen funktionieren. Die meisten Aktualisierungen wirken sich nur geringfügig auf das System aus und erfordern daher nur geringfügiges Testen. Ist der Patchbeschreibung zu entnehmen, das kritische Punkte der eigenen Infrastruktur betroffen sind, sollte man ausgiebiger testen. Ein bis zwei Tage reichen hier bei KMU in der Regel. Bei größeren Strukturen kann auch mehr Zeit verstreichen.

Nach dieser Testphase werden die Aktualisierungen nun zum geforderten Stichtag eingerichtet. Nach dem man darauf vertrauen kann, das die kritischen Systeme fehlerfrei laufen (in der Regel nach einem Tag), kann die Aktualisierung im restlichen Netz verteilt werden.

Der Rest der zweiten Woche sollte der Behebung eventuell aufgetauchter Probleme gewidmet werden. Zum Wochenende zu ist ein Blick in http://www.microsoft.com/technet/community/newsgroups/security/default.mspx empfehlenswert. Hier stellen andere IT-Profis ihre Erfahrungen bei der Installation des Patches dar. Auch Folgeauswirkungen im Nachhinein werden hier diskutiert.

In der dritten Woche werden letzte Aktionen durchgeführt. Traten nach Aktualisierung tatsächlich Probleme auf, was man in dieser Woche zuverlässig weiß, sollte man sich nicht scheuen, den Support von Microsoft in Anspruch zu nehmen. Bei Problemen im Zusammenhang mit Aktualisierungen ist die technische Unterstützung kostenlos.

Nach Abschluss der Aktualisierungen ist es empfehlenswert mit dem Microsoft Baseline Security Analyzer (MBSA 2.0) neue Vergleichsdaten für den Sicherheitsstatus zu erstellen.

Die vierte Woche hat man nun für eventuelle Updates und Aktualisierungen anderer Software und zur Vorbereitung für den nächsten Monat.

Geschrieben in Sicherheit | Drucken | 2 Kommentare »