Datensicherheit

Microsoft stellt Patches für jüngst entdeckte Sicherheitslücken bereit. Microsoft veröffentlichte zwei Patches für den SQL-Server 2000 sowie einen Patch für den SQL-Server 7.0. Für die 2000er Version des SQL-Servers gibt es einen Sammel-Patch, der alle bisherigen und drei neue Sicherheitslöcher stopfen soll, und noch einen weiteren Patch, der auch für den SQL-Server 7.0 gilt. Alle neuen Sicherheitslücken stuft Microsoft als moderat ein.

Nur kostenlos in Verbindung mit dem Kauf anderer Steganos-Produkte erhältlich. Der Software-Hersteller Steganos bietet ab sofort einen Schutz gegen die Gefahr durch selbstinstallierende Dialer an. Der Steganos AntiDialer soll dabei vor unerwünschten 0190-Einwahlen bewahren helfen.

Scalper-Wurm laut Antivirenherstellern bislang ohne größere Verbreitung. Der Scalper-Wurm nutzt eine bereits vor zwei Wochen bekannt gewordene Sicherheitslücke im Apache-Webserver, befällt derzeit aber wohl nur das Betriebssystem FreeBSD.

Firewall-Funktion inklusive Stateful Packet Inspection (SPI). Netgear bietet in seiner neuen ProSafe-Produktfamilie für kleine und mittelständische Unternehmen gleich vier neue Netzwerkprodukte. Darunter eine WLAN-Basisstation und ein Breitband-Router mit acht 10/100-Switch-Ports - alle Geräte bieten Firewall-Funktionen inklusive Stateful Packet Inspection (SPI), die u.a. Denial-of-Service-(DoS-)Attacken entschärfen soll.

Alle Patches bereits in deutscher Sprache verfügbar. Apple veröffentlichte jüngst drei Updates für die Mac-Welt, die unter anderem eine Sicherheitslücke in Apache stopfen und eine aktualisierte Carbon-Bibiliothek für MacOS 8.6 und 9.x anbieten. Das dritte Update ist speziell für iMac-Besitzer mit einer ganz bestimmten Version von MacOS X 10.1.5 gedacht.

Patch behebt drei neue Sicherheitslücken im Windows Media Player. Ein neuer Sammel-Patch von Microsoft behebt drei Sicherheitslücken im Windows Media Player der Versionen 6.4, 7.1 und dem Windows Media Player für Windows XP. Außerdem soll der Patch alle bislang veröffentlichten Patches enthalten.

Ericsson koordiniert EU-Projekt für ambulante Gesundheitsüberwachung. Bereits am 1. Mai 2002 startete das EU-Projekt "MobiHealth", in dessen Rahmen per Mobilfunk fernablesbare Sensoren die ständige Überwachung von lebenswichtigen Körperfunktionen erleichtern und Patienten mehr Bewegungsfreiheit und vor allem Sicherheit bieten sollen. Das von der Europäischen Kommission mit knapp fünf Millionen Euro geförderte Projekt umfasst 14 europäische Partner und wird von Ericsson Deutschland koordiniert.

Entwickler wollen Details am Freitag zusammen mit Gegenmitteln veröffentlichen. Laut Theo de Raadt, einem der Lead Developer für OpenBSD und OpenSSH, existiert eine Sicherheitslücke in OpenSSH, die es Angreifern erlaubt, "Root-Rechte" auf entfernten Systemen zu erlangen. Konkrete Details nennt de Raadt in seiner E-Mail an diverse Websites und Mailinglisten nicht, um so Missbrauch vorzubeugen.

Patches stopfen vier neue und zahlreiche ältere Sicherheitslöcher. Microsoft stellt zwei Sammel-Patches für die Textverarbeitung Word 2002 und die Tabellenkalkulation Exel 2002 zum Download bereit. Damit sollen zahlreiche Sicherheitslöcher in den entsprechenden Applikationen behoben werden. Auch für Excel 2000 steht ein Patch bereit, der allerdings nur für englischsprachige Sprachversionen gilt.

Thematisches Netzwerk für den interdisziplinären Austausch. Der kalte Blick von Überwachungskameras wird langsam aber sicher zum Alltagsphänomen. Wer und was sich hinter ihm verbirgt, welchem Zweck die Überwachung dient und was mit den Aufnahmen geschieht, entzieht sich jedoch weitgehend der Kenntnis der Beobachteten. Über den tatsächlichen Nutzen und die Wirkungen von Videoüberwachung liegen bislang wenig Erkenntnisse vor.

Nutzer können Spam-Mails mit Hilfe von P2P-Netzwerk bekämpfen. Das US-Unternehmen Cloudmark bietet ab sofort neben Vipul's Razor für die Linux-Plattform mit SpamNet auch eine Erweiterung für das PIM- und E-Mail-Programm Outlook von Microsoft an, um systematisch Spam-Mail auszusortieren. Den Erfolg dahinter soll die Zusammenarbeit der Nutzer in einem P2P-Netzwerk bringen. Das Unternehmen will solche Erweiterungen auch für andere E-Mail-Clients auf Windows-Systemen anbieten, ohne jedoch nähere Details zu nennen.

BSI beauftragt Darmstädter Informatiker mit Prozessorentwicklung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn hat Prof. Johannes Buchmann und Prof. Sorin Huss von der Technischen Universität Darmstadt mit der Entwicklung eines Kryptoprozessors für Systeme der Hochgeschwindigkeitsverschlüsselung beauftragt. Ziel des Projekts sind Prozessoren, die das Verschlüsseln von Daten in kürzester Zeit und dabei absolut sicher leisten.

Intel stellt neue Server-Bausteine für Systemintegratoren vor. Intel kündigt jetzt ein Dutzend neuer Server-Bausteine, so genannte Building Blocks, an, darunter Serverboards, Serverchassis, RAID Controller sowie Server Management Software, die Intel OEM-Systemanbietern und Produktintegratoren anbieten will. Einige dieser Server-Plattformen basieren auf dem Intel-Xeon-Prozessor und dem neuen Intel-E7500-Chipsatz.

Bugfix für den Internet Explorer lässt noch auf sich warten. Vor knapp zwei Wochen wurde eine Sicherheitslücke im Internet Explorer entdeckt, die bei der Verwendung des integrierten Gopher-Clients auftreten kann. Wie Microsoft mitteilte, sind auch der Proxy Server 2.0 und der ISA Server 2000 davon betroffen und bietet immerhin dafür passende Patches an. Das Sicherheitsleck im Internet Explorer bleibt hingegen weiterhin offen.

Wie Unternehmen Spam eindämmen können. Die richtige Konfiguration des Mailservers sowie Beschwerden beim Provider sind die wirksamsten Sofortmaßnahmen gegen unerwünschte Werbemails. Dass Gesetze die Spam-Flut eindämmen ist eher unwahrscheinlich, schreibt das iX Magazin in seiner aktuellen Ausgabe 7/2002 und gibt Tipps gegen lästige Mails.

Protest der östereichischen Internet Service Provider. In einem kurzfristig eingebrachten Abänderungsantrag zum Reorganisationsbegleitgesetz, wodurch auch das Militärbefugnisgesetz in Österreich geändert wird, wurden im Parlament von der Regierungsmehrheit gegen die Stimmen der Opposition die Befugnisse der militärischen Organe und Dienststellen beträchtlich erweitert, so die ISPA (Internet Service Providers Austria).

Technikstudie ohne akute Bedrohung. Die Viren-Labors von Herstellern von Antiviren-Software entdeckten einen absolut harmlosen Virus, der erstmals JPEG-Bilddateien infiziert, aber nicht in der Lage ist, von sich aus ein System zu befallen. Im Grunde ist dieser Virus systembedingt funktionsuntüchtig, weil er sich ausschließlich auf einem bereits infizierten System aktivieren kann.

Zukunftsweisendes Application Service Providing (ASP). Der Application-Service-Providing-Markt ist totgesagt. Doch Totgesagte leben länger. Und Anwendungen zum Mieten setzen sich langsam durch.

Windows NT 4.0, 2000, XP, SQL-Server 2000 und IIS 4.0 sowie 5.0 betroffen. Mit einem Schlag informierte Microsoft jetzt über drei aktuelle Sicherheitslücken in verschiedenen Microsoft-Produkten. Die Sicherheitslöcher betreffen Windows NT 4.0, 2000, XP, den SQL-Server 2000 sowie den Internet Information Server (IIS) 4.0 und 5.0. Zwei Lecks werden von Microsoft als moderate Gefahr eingestuft, während die dritte Lücke in Windows NT 4.0, 2000 und XP als kritisch eingeordnet wird. Für alle drei Sicherheitslöcher bietet Microsoft passende Patches an.

European Digital Rights will Privatsphäre und Freiheiten der Bürger schützen. Am 8. Juni 2002 haben zehn Organisationen aus sieben Ländern mit der European Digital Rights (EDRi) eine internationale Bürgerrechtsorganisation für das Internet gegründet. Ziel der EDRi ist es, die Rechte der Menschen in Europa im digitalen Zeitalter der Informations- und Kommunikationstechnologie zu verteidigen. Ihren Sitz soll die EDRi in Brüssel haben.

Windows Update fragt jetzt Produkt-ID von Windows 2000 ab und speichert GUID. Microsoft überarbeitete das Windows-Update und überprüft ab sofort auch Windows 2000 auf gültige Produkt-IDs. Wer jetzt die Update-Funktion in Windows 2000 aufruft, erhält die neue Version automatisch auf den Rechner geladen. Dabei übermittelt Microsoft auch neue Datenschutzrichtlinien, die einschneidende Neuerungen bringen.

Erster Patch von Anfang Mai brachte nicht die erhoffte Wirkung. Wie Microsoft in einem aktualisierten Security Bulletin mitteilt, muss der MSN Chat Client erneut durch einen Patch aktualisiert werden, weil der Anfang Mai bereitgestellte Fix nicht alle Risiken beseitigt. Der MSN Chat Client, der auch im MSN Messenger und im Exchange Instant Messenger steckt, besitzt ein Sicherheitsloch, das es Angreifern ermöglicht, beliebigen Programmcode auszuführen.

Aufruf von ftp-Seiten kann gefährliche JavaScript-Befehle ausführen. Wie auf der Mailingliste Bugtraq berichtet wird, besitzen mindestens die Versionen 5.5 und 6.0 des Internet Explorer ein Sicherheitsleck bei ftp-Seiten. Dies kann dazu führen, dass gefährlicher JavaScript-Code auf dem betreffenden Computer ausgeführt wird. Einen Patch gibt es bislang nicht, aber ein Workaround wird angeboten.

Microsoft bietet Patch gegen das Problem an. Wie Microsoft in einem aktuellen Security Bulletin mitteilt, steckt ein Sicherheitsleck in ASP.NET, das es Angreifern erlaubt, beliebigen Programmcode auszuführen sowie den Server durch DoS-Attacken in die Knie zu zwingen. Microsoft bietet bereits einen passenden Patch an.

Besonders erhöhte Sicherheit bei der E-Mail-Kommunikation. Das Open-Source-Projekt Beonex bietet ab sofort einen Internet-Browser an, der auf Mozilla 1.0 beruht, aber zusätzliche Sicherheitseinstellungen kennt, um einen sichereren Internet-Besuch zu ermöglichen. Den kostenlosen Beonex Communicator gibt es allerdings derzeit nur für Windows- und Linux-Systeme.

Aufwand für Telekommunikationsgesellschaften sei zu groß. Die gestern vom Bundeskabinett beschlossene Änderung der Telekommunikations-Kundenschutzverordnung stößt beim Bundesverband der regionalen und lokalen Telekommunikationsgesellschaften (BREKO) auf Ablehnung. Dem Ziel, die Telefon- und Internetnutzer vor kriminellen Machenschaften einiger 0190-Diensteanbieter zu bewahren, erweise man so einen Bärendienst, meint BREKO-Geschäftsführer Rainer Lüddemann.

Wurm überschreibt Visual-Basic-Dateien. Ende Mai tauchte ein Wurm auf, der im Anhang vermeintliche Bilder des Popstars Shakira enthält, stattdessen aber einen Wurm ins System einschleust. Schien sich der Wurm zunächst nicht so stark zu verbreiten, konnte er sich in jüngster Zeit doch stark vermehren. Auf befallenen Systemen überschreibt er alle Dateien mit den Endungen .vbs und .vbe.

VelociRaptor 1.5 unterstützt VPNs mit AES. Mit dem VelociRaptor 1.5 präsentiert Symantec eine neue Version seiner Firewall/VPN-Lösung. Das Gerät unterstützt ab sofort den Advanced Encryption Standard (AES) und bietet neue Proxy-Funktionen für sichere Videokonferenzen. Im Cluster-Betrieb soll eine integrierte Funktion für Hochverfügbarkeit und Lastausgleich (HA/LB) bei Bedarf erweiterte Skalierbarkeit und ununterbrochenen Netzwerkschutz erlauben.

Microsoft bietet noch keinen Patch; Workaround möglich. Die finnische Sicherheitsfirma Online Solutions Oy berichtet über eine Sicherheitslücke im Internet Explorer, die bei der Nutzung des internen Gopher-Clients auftreten kann. Demnach genügt der Aufruf eines präparierten Gopher-Servers, damit ein Angreifer die volle Kontrolle über einen fremden Rechner erlangt.

Besserer Schutz der Verbraucher vor Betrügereien mit 0190er-Nummern. Mit der heute vom Bundeskabinett beschlossenen Änderung der Telekommunikationskundenschutzverordnung (TKV) sollen die Verbraucher gegen missbräuchliche Praktiken im Zusammenhang mit der Nutzung von Mehrwertdienste-Rufnummern, so genannten 0190er-Nummern, besser geschützt werden.

Forschungspapier über Sicherheitsmängel veröffentlicht. In einem vor ein paar Tagen veröffentlichten Forschungspapier demonstriert Andrew Huang, Student am Massachusetts Institute of Technology, seine Lösung zur Überwindung des Sicherheitssystems der Spielekonsole Xbox. Somit wird es möglich, eigene Software auf der Konsole zum Laufen zu bringen.

... und anderer Open-Source-Software. Bundesinnenminister Otto Schily und IBM Deutschland-Chef Erwin Staudt haben heute in Berlin einen weitreichenden Kooperationsvertrag über die Förderung von offenen Computerbetriebssystemen und Software in der öffentlichen Verwaltung Deutschlands unterzeichnet. Der Vertrag soll es Bund, Ländern und Kommunen erstmals ermöglichen, Software zu besonders günstigen Konditionen beschaffen zu können, die auf dem Betriebssystem Linux basieren - die Server werden dabei von IBM geliefert, die aufgespielte Linux-Distribution stammt von SuSE.

PC Inspector File Recovery 3.0 restauriert gelöschte Dateien. Das Datenrettungsprogramm PC Inspector File Recovery wird von Convar in der aktuellen Version 3.0 als Freeware vertrieben und kann kostenlos aus dem Internet geladen werden. Mit dem Tool sollen sich gelöschte oder zerstörte Dateien wiederherstellen lassen, wobei das Programm die Dateisysteme FAT 12/16/32 und NTFS beherrscht.

Schutz vor Kindesmissbrauch und Terrorismus auf Kosten der Privatsphäre? Auf Antrag des Landes Niedersachsen hat der Bundesrat heute einem Gesetzentwurf zugestimmt, der mehr Eingriffsmöglichkeiten der Ermittlungs- und Strafvollstreckungsbehörden im Bereich der Telekommunikationsüberwachung erlauben soll. Die Telekommunikationsüberwachung soll damit beispielsweise auch bei Verdacht von Straftaten des sexuellen Missbrauchs von Kindern und des Verbreitens (Kinder-)pornografischer Schriften möglich sein, insbesondere um die "pädophile Kriminalität" im Internet besser bekämpfen zu können.

Anti-Terrorverordnung kontra Grundgesetz. Am Freitag, dem 31. Mai 2002, stehen im Bundesrat die Änderungen zum Telekommunikationsrecht zur Entscheidung an. Danach sollen alle Anbieter, die Telekommunikationsdienstleistungen erbringen, verpflichtet werden, Namen, Anschriften, Geburtsdaten und Rufnummern ihrer Kunden zu speichern. Nach Ansicht des Deutschen Anwaltvereins (DAV) würden diese Änderungen im krassen Widerspruch zu den Rechten der Bürgerinnen und Bürger aus dem Grundgesetz stehen.

Gleichzeitig mehr Internet-Überwachung im Schatten der Terrorismusbekämpfung. Das Europäische Parlament hat die EU-Richtlinie zum Datenschutz in elektronischen Medien gebilligt. Mit ihr sollen Verbraucher besser vor Spam geschützt werden - andererseits soll aber auch die Speicherung von personenbezogenen Daten in den EU-Mitgliedsstaaten erlaubt werden, die bei der Internetnutzung anfallen.

Sichere Internetanbindung über xDSL für Firmennetze. Die Innominate Security Technologies AG zeigt auf der Internet World ihren neuen M2 "Mini". Das bisher kleinste Gerät aus der Innominate-Serverserie ist speziell für die Vernetzung von Firmen-Standorten vorgesehen, die auf hohe Kommunikationssicherheit Wert legen und sich ein kleines, preiswertes, einfach zu bedienende und geräuschloses System wünschen. Dabei sind IPsec und L2TP Sicherheitsprotokolle so implementiert, dass auch mobile Mitarbeiter oder Heimarbeiter auf ihren Arbeitsplatz-PC ohne Gefahr und ohne zusätzliche Kosten über ihr bestehendes Windows-Betriebssystem zugreifen können.

Datenschützer: "Anschlag auf das Recht auf unbeobachtete Kommunikation". Am Freitag stimmt der Bundesrat über einen im Rechtsausschuss bereits mehrheitlich angenommenen Vorschlag ab, die Internet- und Telekommunikations-Provider zur zwangsweisen Vorratsspeicherung sämtlicher Daten ihrer Kunden zu verpflichten. Damit drohe eine nahezu vollständige Aushebelung des Datenschutzes für Internet und Telekommunikation, warnt das "Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein".

Angreifer können einen Exchange-2000-Server zum Erliegen bringen. Wie Microsoft in einem aktuellen Security Bulletin mitteilt, enthält der Mail-Server Exchange 2000 eine empfindliche Sicherheitslücke, die es Angreifern ermöglicht, den Mail-Server in die Knie zu zwingen. Microsoft bietet einen Patch gegen das Problem an.

Veritas realisiert schnelles Datenbank-Backup Brocade, Oracle und Sun. Veritas Software hat erstmals in einer Konfiguration mit Lösungen von Brocade, Emulex, Oracle, StorageTek und Sun Microsystems das Backup einer Oracle-9i-Datenbank mit 2 Terabyte Volumen in weniger als einer Stunde realisiert. Vor allem Unternehmen mit kleinen Backup-Fenstern und hohen Ansprüchen an die Verfügbarkeit ihrer Datenbank-Daten will man so neue Lösungen anbieten.

Sicherheitslöcher erlauben Angriffe auf betroffene Systeme. Ein jetzt erhältlicher Patch für den Yahoo Messenger 5.0 beseitigt zwei Sicherheitslöcher in dem Instant Messenger. Angreifer können die Sicherheitslücken dazu nutzen, um Programme auf einem eroberten System auszuführen oder beliebige JavaScript- oder Visual-Basic-Kommandos ausführen.

Kombiniert automatische und manuelle Updates. Sophos liefert ab sofort den neuen Sophos Enterprise Manager aus. Der Enterprise Manager ist das erste Produkt der nächsten Sophos-Generation von Administrations-Tools und soll für die automatische Verteilung der aktuellsten Viren-Updates und Sophos Applikationen sorgen und gleichzeitig manuelle Updates erleichtern.

Inklusive transparentem Inline-Anti-Virus und Spam-Scanner. McAfee Security, ein Geschäftsbereich von Network Associates, bringt eine neue Version seiner Gateway Appliances, WebShield e250 und e500. Die Version 2.5 von McAfee WebShield, eine Kombination aus Soft- und Hardware, ermöglicht transparentes Inline Scanning nach Viren.