Unternehmen droht längst nicht mehr nur Gefahr durch Angriffe von außen. Auch ein gut geschütztes Netzwerk ist Gefahren ausgesetzt, die von innen kommen. Security Awareness ist ein möglicher Ansatz, um Mitarbeiter auf diese Gefahren aufmerksam zu machen, aber er genügt nicht, wenn es keine Kon­trolle gibt. Zudem unterstützen spezielle Data Loss Prevention (DLP)-Lö­sungen Unternehmen dabei, Datendiebstahl und die unabsichtliche Über­mit­tlung von Informationen nach außen zu verhindern.

Identity Management (IdM) ist derzeit eines der Hypethemen der IT. Im Gegensatz zu den USA ist der Einsatz dieser Systeme im deutschsprachigen Raum noch nicht so verbreitet. Diese Umfrage sollte klären, wo die Anwender die Einsatzgebiete sehen und wie die Anwender den Stellenwert von IdM-Systemen sehen. Im letzten Schritt sollten insbesondere die Vorhersagen der Analysten und die Realität abgeglichen werden. Die Untersuchung wurde in zwei Wellen Ende 2007 und Mai 2008 durchgeführt. Die aggregierten Ergebnisse und ihre Interpretation im Einzelnen.

Man kann nicht allem vorbeugen. Was tun wir, um wichtige Dinge vor fremdem Zugriff zu schützen? Nun, wir bringen sie an einen sicheren Ort und verschlie-ßen die Tür. Ein Dieb jedoch kann das Schloss mit einem Dietrich leicht kna-cken. Also verwenden wir statt des Schlosses etwas, das nicht so leicht zu kna-cken ist. Das funktioniert – bis der Dieb mit Werkzeugen anrückt und gleich die ganze Tür abnimmt.

Motiviert durch spektakuläre Verluste wie bei der Société Générale im Januar 2008 intensivieren die Unternehmen ihre Anstrengungen im Bereich IT Governance, Risk und Compliance (GRC): „Jede Bank in diesem Geschäftsbereich wird ihre Compliance-Regelungen gründlich überholen, ihre IT-Sicherheit ... bis ins Detail,“ sagte Howard Davies, Dekan der London School of Economics, kurz nach dem Vorfall. Aber wie kann man dieses Ziel erreichen, ohne das Geschäft zu behindern und viel Geld in die Hand zu nehmen?

Auch in der IT ist das Thema Sicherheit zu einem zentralen Handlungsfeld des neuen Jahrtausends geworden. Doch wie sehen die Herausforderungen für Wirtschaft, Wissenschaft und Politik konkret aus? Das Forschungsprojekts FAZIT bringt am 14. Oktober 2008 in Stuttgart die jeweiligen Experten an einen Tisch und diskutiert mit ihnen die individuellen Lösungsansätze und Anforderungen an IT-basierte Sicherheitssysteme.

Der Einsatz von Applikationen zur Verschlüsselung von Daten hat in Unternehmen eine lange Tradition. Über die Jahre hat dies allerdings dazu geführt, dass Systemadministratoren und Sicherheitsverantwortliche Lösungen unterschiedlicher Hersteller betreuen müssen, die weder über ein gemeinsames Management noch über eine zentrale, übergreifende Schlüsselverwaltung verfügen.

E-Mails sind eine feine Sache. Sie sind bequem, sparen Zeit, sind schnell, unabhängig und preisgünstig. Derzeit werden weltweit rund 30 Milliarden dieser elektronischen Nachrichten pro Tag verschickt. Ungefähr die Hälfte ist geschäftlicher Natur. Das ist die gute Nachricht.

Das Risikomanagement als Bestandteil der Unternehmensführung gewinnt immer mehr an Bedeutung. Jedes Unternehmen, unabhängig von der Größe und dem Umsatz, ist stetig mehr Risiken ausgesetzt. Diese gilt es hinsichtlich ihres Gefahren- oder Chancenpotentials zu beurteilen und zu kategorisieren.

In großen und komplexen IT-Infrastrukturen müssen die Benutzerdaten effizient und sicher verwaltet werden. Software-Lösungen für Identity Management versprechen hier Hilfe. Sie haben aber den Nachteil, dass sie die Infrastruktur tendenziell noch komplizierter machen. Quest Software verfolgt deswegen einen anderen Ansatz: Wo immer es geht, werden bereits vorhandene Strukturen genutzt.

Strom stand in Rechenzentren und Serverräumen bislang meist einfach zur Verfügung – das Geld dafür spielte kaum eine Rolle. Mit steigenden Energie-preisen entwickeln sich die Ausgaben für Strom jedoch zu einem relevanten Faktor für die Kalkulation von Rechenzentren und Serverräumen.

Das vielgefürchtete Szenario ist eingetreten: Die IT‑Systeme sowie die gesamte IT-Infrastruktur versagen ihre Dienste. Was ist zu tun? Gibt es Ausweichmöglichkeiten? Wie und wann ist die IT-Funktionalität wieder vollständig hergestellt? Diese Fragen beschäftigen Unternehmen und ihre Geschäftsführer, wenn der Notfall bereits eingetreten ist.

Unternehmen beschäftigen sich seit jeher mit Risiken. Die SWOT-Analyse ist ein gängiges Instrument. Stärken und Schwächen, Chancen und Gefahren sind zu beurteilen, unternehmerisches Handeln wird davon bestimmt. Im Ingenieurwesen kennt man die Berechnungen der Risiken ebenfalls seit langem. Seit 2007 ist die Beschäftigung mit den Risiken des Unternehmens eine gesetzliche Pflicht (OR 663b, Ziff.12).

Voice over IP (VoIP), die Verwendung von IP-basierter Infrastruktur zum Transport von Sprache, ist längst den Kinderschuhen entwachsen: Die Erfahrung aus vielen Telefonie-Migrations-Projekten zeigt uns, dass die Entwicklung von VoIP inzwischen ein vergleichbares Niveau erreicht hat wie Internal-Web-Services und noch mit deutlichem Vorsprung vor beispielsweise Smartphones rangiert.

Verantwortliche für Informationssicherheit agieren typischerweise im Spannungsfeld zwischen Geschäftszielen und technologischen Fragestellungen. Auf der einen Seite sollen Geschäftsführung oder Vorstand für Informationssicherheit sensibilisiert werden und die Security-Verantwortlichen unterstützen. Die IT-Fachbereiche wiederum sind eher technisch orientiert und in ein Security-Framework einzubeziehen. Informationssicherheit-Managementsysteme (ISMS) bilden die strategische Klammer. Ein wichtiger Erfolgsfaktor ist die richtige Verteilung von Rollen und Verantwortlichkeiten für Informationssicherheit im Unternehmen.

Die vorliegende Analyse erklärt, was genau unter Zombie-Netzen oder auch Botnetzen zu verstehen ist, wie sie aufgebaut sind und wie sich mit ihnen Geld verdienen lässt. Zudem beschäftigt sich der Bericht mit aktuellen Tendenzen in der Botnetz-Entwicklung.

Einige der hartnäckigsten Mythen rund um Computer beziehen sich auf Viren und Antivirus(AV)-Technologie. Die weit verbreitete Annahme, dass AV-Software nur bestimmte, bekannte Viren entdecken kann, hält sich schon seit den frühen Tagen der Antiviren-Forschung. Es war schon damals nicht vollkommen richtig; denn einige der ersten AV-Programme waren nicht dafür gedacht, spezifische Viren zu entdecken, sondern virusartiges Verhalten oder verdächtige Änderungen an Dateien zu erkennen beziehungsweise zu verhindern. Heutzutage ist es ganz bestimmt nicht zutreffend.

Nur etwa vier Prozent der Sicherheitsverantwortlichen in großen deutschen Unternehmen haben laut einer aktuellen Studie einen permanenten Überblick über ihre IT-Sicherheitssysteme. Diese wenigen Unternehmen können zeitnah Aussagen zum Status von Viren-Pattern-Updates oder Patches über das gesamte Unternehmensnetzwerk hinweg treffen, doch die große Mehrheit steuert ihre IT-Sicherheit im Blindflug. Security Level Management schafft hier Transparenz.

Fuzzing ist eine Testmethode zur Aufdeckung von Problemen und Schwachstellen in Softwareapplikationen. Der Einsatz dieser Testmethode bietet vor allem Hersteller von closedsource Produkten einen signifikanten Vorteil, da sie exklusiv auf ihren Quellcode zugreifen können.

Wenn Netzwerkexperten über VPNs reden, geht es häufig darum, ob IPSec oder SSL die bessere Variante darstellt. Doch wenn zwei sich streiten, freut sich der dritte: Beim Anwender sind längst andere Faktoren entscheidend, zum Beispiel Produktivität, Handhabung und zusätzliche Sicherheit. Jede Organisation hat dabei ihre eigene Gewichtung.

Bis 30. August diesen Jahres können Firmen und Institutionen ihre Projekte einsenden, die eine hochkarätige Experten-Jury dann in den verschiedenen Wettbewerbsklassen bewertet, prämiert und vorstellt.