Artikelsuche 
> Nachrichtenticker
> Archiv
 WIRTSCHAFTSPRÜFUNG NATIONAL  WIRTSCHAFTSPRÜFUNG INTERNATIONAL
Datum: 05.09.2010 > Login > Registrierung
  Startseite
  Dienstleistungen
  IT-Audit
  International Standards on Auditing-ISA Adaption
  IT-Sicherheit
  IT-Rechtsprechung
  COSO
  COBIT
  ITIL
  ERP
.
 IT-News
  IAS/IFRS
  Archiv
  Glossar
  Registrierung
  Sitemap
  Impressum
  AGB
  Haftungsausschluss
 

Newsletter

Bitte melden Sie sich bei unserem Newsletter an.
Email:
anmelden
abmelden
 

1. Neuauflage der BSI-Standards zur Informationssicherheit erschienen
Die Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
    * 100-1: Managementsysteme für Informationssicherheit (ISMS) [Version 1.5],
    * 100-2: IT-Grundschutz-Vorgehensweise (Version 2.0) und
    * 100-3: Risikoanalyse auf der Basis von IT-Grundschutz (Version 2.5)
wurden überarbeitet und sind in einer neuen Auflage erschienen.
Die BSI-Standards enthalten Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen, um die Informationssicherheit in Behörden und Unternehmen auf einem hohen Niveau zu gewährleisten. Das BSI greift dabei Themenbereiche auf, die von grundsätzlicher Bedeutung für die Informationssicherheit in Unternehmen oder Behörden sind und für die sich national oder international sinnvolle und zweckmäßige Herangehensweisen etabliert haben. Die zweite Auflage der BSI-Standards stellt den Begriff der Informationssicherheit in den Mittelpunkt. Neu hinzu gekommen sind weitere Aspekte des Datenschutzes, beispielsweise die Aufgaben eines Datenschutzbeauftragten und seine Zusammenarbeit mit der Informationssicherheitsorganisation. Die Autoren arbeiteten zudem die Fortschreibungen der ISO-Standards ein und optimierten die Gliederung bei der IT-Grundschutz-Vorgehensweise.

2. Oracle reagiert auf schwere Sicherheitslücke
-Sicherheitslücke betrifft Kombination aus Weblogic und Apache
Oracle hat eine Sicherheitswarnung herausgegeben, nachdem eine schwere Sicherheitslücke im Applikationsserver Weblogic entdeckt wurde. Dafür ist bereits ein Exploit erhältlich. Anwender sollten daher so schnell wie möglich die von Oracle empfohlenen Maßnahmen umsetzen. Die Sicherheitswarnung ist die erste, seit Oracle im Januar 2005 begann, seine regelmäßigen Patchpakete zu veröffentlichen. Code, der die im Weblogic-Applikationsserver entdeckte Lücke ausnutzt, ist jedoch bereits im Internet verfügbar. Da Angreifer auf dem betroffenen Rechner kein Nutzerkonto besitzen müssen, ist das Sicherheitsleck besonders schwerwiegend. Der CVSS-Eintrag erhielt dann mit 10.0 auch die höchstmögliche Bewertung.
Von dem Problem betroffen sind die Weblogic-Versionen 6.1 bis einschließlich 10 auf allen Plattformen, wenn sie auf einem Apache-Webserver betrieben werden und das Apache-Plug-in vor dem 28. Juli 2008 erstellt wurde.
Als Abwehrmaßnahme empfiehlt Oracle, den Wert für die "LimitRequestLine" in der Apache-Konfiguration auf "4000" zu setzen. Damit wird die URL-Länge auf maximal 4.000 Byte beschränkt. Sollte diese Beschränkung nicht ausreichen, soll "mod_security" verwendet werden. (js)

3. IT-Service-Management-Cobit-Mapping auf Itil V3 verfügbar
Zudem offeriert das IT Governance Institute (ITGI) Mappings auf CMMI, Prince2, PMBok und ISO/IEC 17999.
Über das ITGI, eine Unterabteilung der Information Systems Audit and Control Association (Isaca), können Berater und Anwenderunternehmen ab sofort einen Strukturabgleich ("Mapping") zwischen dem Release 4.0 des IT-Governance-Frameworks Cobit (Control Objectives for Information and related Technology) sowie der jüngsten Version 3 der IT Infrastructure Library (Itil) beziehen. Fachleute bezeichnen dieses Angebot als einen sinnvollen ersten Schritt.
Von daher ist das aktuelle Mapping-Angebot vor allem für die Beraterzunft interessant. Neben dem Abgleich von Cobit 4.0 und Itil V3 offeriert das ITGI auch Mappings zum Qualitäts-Management-Framework CMMI, zu den Projekt-Management-Standards "Prince2" und "PMBok" sowie zu ISO/IEC 17999.

4. ISO veröffentlicht neuen Standard zum IT Risikomanagement
Der neue ISO-Standard "Information Technology - Security Techniques - Information Security Risk Management" (ISO/IEC 27005:2008) beinhaltet Guidelines für das IT Informationssicherheitsmanagement (ISMS) bzw. das Security Risk Management und liefert entsprechende Handlungsempfehlungen für Unternehmen. Er basiert auf den bestehenden Standards
  • ISO/IEC 27001:2005 ("Information Technology - Security Techniques - Information Security Management Systems - Requirements") und
  • ISO/IEC 27002:2006 ("Leitfaden zum Thema Information Security Management").
Der Risikomanagement-Prozess gemäß ISO umfasst
    * die Bestimmung von Zusammenhängen (context establishment),
    * die Risikobewertung (risk assessment),
    * die Risikobehandlung und -akzeptanz (risk treatment/risk acceptance)
    * die Kommunikation von Risiken (risk communication) sowie
    * die Risikoüberwachung und -überprüfung (risk monitoring and review).
Der aktuelle Standard liefert allerdings keine spezifische Methode für das Information-Security-Risk-Management, stellt die Organisation klar. Vielmehr müssten Unternehmen je nach den Gegebenheiten oder Branche zu ihrem eigenen Ansatz finden.

5. Global Technology Audit Guide "Developing the IT Audit Plan" und "Business Continuity Management" verfügbar
Das Institute of Internal Auditors (IIA) hat die beiden Global Technology Audit Guides, kurz GTAG, veröffentlicht (beide Stand 07/2008):
    * Developing the IT Audit Plan (Vol. 10)
    * Business Continuity Management (Vol. 11)
Die Bände 1 bis 9 und die zwei Neuerscheinungen sind auf der Homepage des IAA (GTAG 10 & 11) frei als Download verfügbar.

Aktuelle Meldungen

SOX und die 8. EU-Richtlinie als Chance nutzen

Die EU-Mitgliedstaaten haben "Euro-SOX" in das jeweilige Landesrecht umzusetzen bzw. bereits schon umgesetzt. Immer noch besteht für europäische Unternehmen akuter... ... mehr

Compliance: EuroSOX als Chance

IT-Abteilungen können die EU-Richtlinien für die Abschlussprüfung und die Unternehmensberichterstattung nutzen, um ihre IT-Governance zu verbessern... ... mehr

Outsourcing: Risikopotentiale und mangelndes Risikobewußtsein

Unternehmen erkennen Risiken beim IT-Outsourcing erst im Nachhinein: Palette der Risiken reicht vom Datendiebstahl bis zu Urheberrechtsfragen .... ... mehr

EU-Datenschutz: Gütesiegel für Suchmaschine

Umsetzung des Datenschutzes im Internet: Suchmaschine Ixquick ist in Compliance mit europäischem Datenschutzrecht... ... mehr

Bundeskabinett beschließt Reformgesetz zu Auskunfteien

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit fordert noch mehr Transparenz... ... mehr

Malware-Trends - Die grössten Bedrohungen für 2008

Als Anbieter einer gehosteten Web-Filtering-Lösung analysiert ScanSafe monatlich mehr als 7 Milliarden Web-Anfragen. Nun steuern Sicherheitsexperten einen Ausblick auf die Bedrohungen für das Jahr 2008 bei.. ... mehr

Datenschutz bei Internet-Gesundheitsakten fraglich

Die Möglichkeit, im Internet Gesundheitsakten zu führen, schätzt Bundesdatenschützer Peter Schaar als risikoreich ein... ... mehr

ISO führt Security-Risk-Management-Standard ein

Ein von der International Organization for Standardization (ISO) veröffentlichter Leitfaden soll Unternehmen Hilfestellung im anhaltenden Kampf gegen Sicherheitsbedrohungen leisten... ... mehr

Saarland: Eindringen in Wohnungen für heimliche Online-Durchsuchungen

Der saarländische Innenminister Klaus Meiser arbeitet an einer Novelle des Polizeigesetzes, die eine Befugnis für heimliche Online-Durchsuchungen enthalten soll. Dabei... ... mehr

IT-Trends/Sun und IBM setzen verstärkt auf Cloud Computing

Sun Microsystems funktioniert seine Geschäftsabteilung für "Utility Computing" ... ... mehr

WIRTSCHAFTSPRÜFUNG NATIONAL  |  WIRTSCHAFTSPRÜFUNG INTERNATIONAL  |