Dienstag, 10. August 2010
Der Hauptfachausschuss (HFA) des IDW hat den Entwurf des IDW Prüfungsstandards: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen verabschiedet. Eventuelle Änderungs- oder Ergänzungsvorschläge zu dem Entwurf werden schriftlich an die Geschäftsstelle des IDW, Postfach 32 05 80, 40420 Düsseldorf, bis zum 01.10.2010 erbeten.
Die Änderungs- oder Ergänzungsvorschläge werden im Internet auf der IDW Homepage veröffentlicht, wenn dies nicht ausdrücklich vom Verfasser abgelehnt wird.
Der Entwurf steht bis zu seiner endgültigen Verabschiedung als IDW Prüfungsstandard im Internet (www.idw.de) unter der Rubrik Verlautbarungen bzw. unter folgendem Link als Download zur Verfügung:
http://www.idw.de/idw/download/IDW__EPS__980.pdf?id=595952&property=Inhalt
Donnerstag, 5. August 2010
Im Betriebssystem iOS, das in den Geräten zur mobilen Kommunikation und Internetnutzung iPhone, iPad und iPod Touch des Herstellers Apple eingesetzt wird, existieren zwei kritische Schwachstellen, für die bislang noch kein Patch zur Verfügung steht. Bereits das Öffnen einer manipulierten Internetseite beim mobilen Surfen oder das Anklicken eines präparierten PDF-Dokuments reicht aus, um das mobile Gerät mit Schadsoftware zu infizieren. Potenziellen Angreifern ist damit der Zugriff auf das komplette System mit Administratorrechten möglich.
Von den Schwachstellen betroffen sind die folgenden Apple-iOS-Versionen für das iPhone in der Version 3.1.2 bis 4.0.1, iOS für das iPad in der Version 3.2 bis 3.2.1 und iOS für den iPod Touch in der Version 3.1.2 bis 4.0. Es ist nicht auszuschließen, dass auch ältere Versionen des iOS bzw. iPhone OS von der Schwachstelle betroffen sind.
Link: www.bsi.de
Das EU-Parlament hat am heutigen Donnerstag mit 484 zu 109 Stimmen ein neues transatlantisches Ãœbereinkommen zur Weitergabe von Ãœberweisungsinformationen des Finanznetzwerks SWIFT (Society for Worldwide Interbank Financial Telecommunication) abgesegnet. US-Behörden können damit von Anfang August an wieder auf die begehrten Bankdaten zugreifen und in ihr darauf basierendes Anti-Terror-Programm TFTP (Terrorist Finance Tracking Program) einspeisen.
Das Abkommen betrifft Daten wie Name, Adresse, Empfänger und Höhe einer Überweisung für Transaktionen in Länder außerhalb der EU und Zahlungen aus solchen Ländern. Die Daten sollen es ermöglichen, die Finanzströme des internationalen Terrorismus zu kappen; ob dies durch die Weitergabe dieser Ãœberweisungsdaten aber effektiv möglich wird, ist auch unter Strafverfolgern umstritten. Das in Belgien beheimatete und Server unter anderem auch in der Schweiz betreibende Unternehmen wickelt nahezu alle grenzüberschreitenden Bankgeschäfte für europäische Banken ab und meldet täglich mehr als 15 Millionen Transaktionen. Das Vorgängerabkommen hatten die Abgeordneten zunächst im Januar gekippt.
Link zum Übereinkommen: http://register.consilium.europa.eu/pdf/en/10/st11/st11222-re01.en10.pdf
Link zum Artikel: http://www.heise.de/newsticker/meldung/EU-Parlament-verabschiedet-neues-SWIFT-Abkommen-zum-Bankdatentransfer-1034690.html
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt ein neues Schutzprofil für Betriebssysteme, das „Operating System Protection Profile (OSPP)“ vor (s. durch das BSI registrierte Schutzprofile). Das nach den Common Criteria, den international anerkannten Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik, zertifizierte Schutzprofil wird den aktuellen Entwicklungen moderner verteilter Betriebssysteme gerecht und löst nicht mehr zeitgemäße Schutzprofile ab.
Das OSPP wurde in Abstimmung mit einem eigens gegründeten Forum entwickelt, an welchem sich neben dem BSI und der atsec information security GmbH Vertreter des amerikanischen Zertifizierungsschemas (NIAP) und namhafter Betriebssystemhersteller (Argus Systems, Hewlett Packard, IBM, Juniper Networks, Microsoft, Novell (SuSE), Oracle, RedHat, Sun Microsystems und Univention) beteiligt haben. Die Zertifizierung des OSPP, und somit auch die Zertifizierungen konformer Betriebssysteme, werden im Rahmen des CCRA international von derzeit 25 Nationen anerkannt.
Weitere Informationen hierzu:
https://www.bsi.bund.de/cln_183/ContentBSI/Presse/Kurzmitteilungen/Schutzprofil_Betriebssysteme_240610.html
Die Deutschsprachige SAP-Anwendergruppe (DSAG) e. V. hat einen Leitfaden zur Themenreihe SAP und Governance, Risk und Compliance (GRC) veröffentlicht. Dieser richtet sich an Unternehmen, die ein effektives, risikoorientiertes Berechtigungsmanagement installieren wollen. Er beschreibt, wie sich durch die entsprechenden SAP-Anwendungen der Zugriff auf Daten und Programme reglementieren lässt und liefert zugleich Handlungsempfehlungen für die Implementierung eines Berechtigungskonzepts.
Der von einem Autorenteam der DSAG-Arbeitsgruppe Governance, Risk Management, Compliance (GRC) erstellte Best-Practice-Leitfaden zur „Einführung der SAP BusinessObjects GRC-Lösungen“ gibt u. a. einen Überblick, welche Anforderungen gesetzliche Regelungen wie das Bilanzrechtsmodernisierungsgesetz (BilMoG) an interne Kontroll- und Risikomanagementsysteme stellen. Der Schwerpunkt der Handlungsempfehlung liegt auf einer ausführlichen Beschreibung, wie sich SAP BusinessObjects Access Control anhand eines Phasenkonzepts einführen lässt. Die SAP-Anwendung standardisiert die Verwaltung von Benutzerrollen und erteilt Zugriffsrechte durch automatisierte Genehmigungsprozesse. Zudem wird erläutert, wie die Lösung in SAP NetWeaver Identity Management integriert werden kann. Die Implementierungs- und Integrationsszenarien beruhen auf Best Practices, denen die Projekterfahrung von Unternehmen aus unterschiedlichen Branchen und Größen zugrunde liegt.
Der Leitfaden ist ein umfassendes Nachschlagewerk für alle SAP-Anwenderunternehmen, die im Bereich Governance, Risk und Compliance aktiv werden wollen oder müssen. Das Thema GRC wird die Unternehmen in den kommenden Jahren weiterhin stark beschäftigen. Nicht nur die Zahl der gesetzlichen Regelungen wird weiter zunehmen, auch die Zahl der davon betroffenen Unternehmen wird sich erhöhen. Die GRC-Verantwortlichen werden vor der Herausforderung stehen, sowohl die Richtlinien und Anforderungen als auch unternehmensinterne Vorgaben IT-unterstützt umzusetzen. Ein auf Projekterfahrungen basierender Best-Practice-Leitfaden kann hierbei entscheidend helfen, ist Siegfried Filla, Sprecher der DSAG-Arbeitsgruppe GRC, überzeugt.
Der Leitfaden zur Einführung der SAP BusinessObjects GRC-Lösungen kann auf der DSAG-Homepage unter folgendem Link herunter geladen werden:
http://www.dsag.de/fileadmin/media/Leitfaeden/100602_Leitfaden_SAP_BO_ACBP_screen.pdf
Auf Initiative des Bundesministeriums des Innern (BMI) und im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben führende deutsche Experten eine interdisziplinäre Studie mit dem Titel „Identitätsdiebstahl und Identitätsmissbrauch im Internet – Rechtliche und technische Aspekte“ erstellt.
Der „Diebstahl“ und der anschließende Missbrauch der „entwendeten“ Identitäten beschreibt ein relativ neues Kriminalitätsphänomen. Bis vor einigen Jahren wurde mittels des sogenannten „Phishing“ vornehmlich das Abfischen von Online-Banking-Zugangsdaten beschrieben. Mittlerweile rückt die komplette digitale Identitüt des Nutzers in den Fokus der Internetkriminellen, beispielsweise die bei sozialen Netzwerken, E-Mail-Dienstleistern und Handelsplattformen verwendeten Identitäten.
Wesentliche Ergebnisse der Studie:
- Angriffe mit dem Ziel eines Identitätsdiebstahls werden heute weit überwiegend über Schadprogramme (sogenannte „trojanische Pferde“) durchgeführt, die in der Lage sind, auch fortgeschrittene aktualisierte technische Abwehrmaßnahmen zu umgehen.
- In den Mittelpunkt des Interesses der Internetkriminellen rückt zunehmend die komplette digitale Identität der Internetnutzer. Neben Online-Banking-Zugängen können zum Beispiel auch die bei E-Mail-Dienstleistern, Packstationen, Auktions- und Handelsplattformen sowie bei Social-Network-Plattformen verwendeten Identitäten betroffen sein.
- Die Vorgehensweise der Täter hat sich in den letzten Jahren geändert: die Schadprogramme gelangen heute vorwiegend durch Schwachstellen im Betriebssystem bzw. in Softwarepaketen auf die Nutzer-PCs. 2009 wurden die meisten Systeme durch den bloßen Besuch von Internetseiten (sog. „drive-by-infection“) und präparierte PDF-Dokumente angegriffen.
- Als Gegenmaßnahmen werden Standardsicherheitsmaßnahmen (Virenschutzprogramme, Firewall sowie regelmäßige Updates des Betriebssystems und der Anwendungen) vorgeschlagen. Notwendig sei zudem eine umfassende Aufklärung der Internetnutzer.
- Für die Zukunft wird prognostiziert, dass Identitätsdiebstahl und -missbrauch noch nicht absehbare Formen annehmen werden, da neue Techniken und Plattformen immer neue Angriffsszenarien ermöglichen.
Die komplette Studie wird von BMI und BSI für einen Zeitraum von zwei Wochen kostenlos zum Download unter folgendem Link bereitgestellt:
https://www.bsi.bund.de/cae/servlet/contentblob/1086544/publicationFile/87477/Studie_Identitaetsdiebstahl_090610.pdf
Im Auftrag des Österreichischen Bundeskanzleramtes wurde vom Austria Secure Information Technology Center (A-SIT) eine Studie zur Sicherheit von iPhones durchgeführt. Die Studie ist unter folgendem Link zu finden:
http://www.a-sit.at/pdfs/Technologiebeobachtung/Studie_IPhone_v1.0.2.pdf
In diesem Dokument wird auf die Sicherheitsmerkmale des iPhones (Software Version 3.1.3) eigegangen. Das Smartphone wird dabei mit unterschiedlichen Subsystemen dargestellt. Jedes dieser Subsysteme wird dabei auf etwaige Gefahren, vorhandene/fehlende Sicherheitsfeatures des Smartphones und mögliche technische/organisatorische Gegenmaßnahmen analysiert.
