Datensicherheit

US-Geheimdienst fördert Security-Enhanced Linux. NAI Labs, eine Division von PGP Security, arbeiten zusammen mit der National Security Agency (NSA) und anderen Partnern an einem "Security-Enhanced Linux" (SELinux). Über die nächsten zwei Jahre wird die NSA hierfür 1,2 Millionen US-Dollar an NAI Labs zahlen, die die Sicherheit des Open-Source-Betriebssystems verbessern sollen.

Bundesregierung schieße über das Ziel hinaus. Die Berichterstatterin der CDU/CSU-Bundestagsfraktion für den Bereich Datenschutz, Beatrix Philipp, MdB, erklärte, dass die Bundesregierung der Wirtschaft mit der Gesetzesänderung zum Bundesdatenschutzgesetz (BDSG), die im Bundestag verabschiedet worden ist, nicht nur das bundesdeutsche Datenschutzgesetz an eine EU-Richtlinie angeglichen, sondern in einigen Bereichen auch darüber hinaus gegangen würde; bei der Einführung eines Datenschutzaudits, der Videoüberwachung und der Chipkartenregelung.

Erster Virus entdeckt, der auf beiden Plattformen arbeitet. Wie Central Command, ein Hersteller von Antiviren-Lösungen, mitteilte, ist soeben der erste Virus gesichtet worden, der sowohl auf der Windows-Plattform als auch unter Linux agiert. Der Schädling hört auf den Namen Win32.Winux oder auf Linux.Winux, richtet aber keinen nennenswerten Schaden an.

Bedenken bezüglich G10-Novellierungs-Entwurf. Auf der 61. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 8. und 9. März in Düsseldorf wurde die Bundesregierung von Experten aufgefordert, den Datenschutz und das Fernmeldegeheimnis zu gewährleisten. Auf personenbezogene Daten solle nur strikt zweckgebunden zugegriffen werden können.

Betatest mit fast einer halben Million Testern. Bill Gates kündigte jetzt auf der Windows Hardware Engineering Conference (WinHEC) die Windows XP Beta 2 für April an, die nächste Vorabversion von Microsofts Windows-Betriebssystem für den Heim- und Business-Bereich. Die neue Beta-Version will Microsoft an mehrere hunderttausend Tester verteilen.

Personal Firewall und ICQ-Verschlüsselung enthalten. Auf der CeBIT in Hannover zeigt die Network-Associates-Abteilung McAfee die Version 7.0 der Verschlüsselungssoftware PGP, die jetzt eine Personal Firwall und Verschlüsselung von ICQ-Chats bietet.

Symantec zeigt auf der CeBIT auch eine überarbeitete Personal Firewall. Symantec überarbeitete sein Sicherheitspaket Norton Internet Security 2001 und hievt das Programm auf die Versionsnummer 3.0. Die gleiche Versionsnummer trägt auch die Personal Firewall, die ebenfalls auf der CeBIT gezeigt wird.

Angst vor amerikanischer Spionage. Aus Angst vor Spionage durch US-Geheimdienste wollen das Auswärtige Amt und die Bundeswehr Sicherheitslücken schließen. Das berichtet der Spiegel in der aktuellen Ausgabe. In Computern, die in sensiblen Bereichen eingesetzt werden, will die Bundeswehr künftig keine Software der Firma Microsoft mehr verwenden. Die Bundeswehr hat dies mittlerweile offiziell dementiert.

Einjähriger Update-Service enthalten. Auf der CeBIT in Hannover zeigt der Hersteller von Virenscannern, F-Secure, die zweite Version der Antivirus-Software F-Secure Anti-Virus für PalmOS.

Destruktiver Windows-Wurm "Naked Wife" treibt sein Unwesen. Der jüngst entdeckte neue Internet-Wurm "Naked Wife", auch unter der Bezeichnung "W32/Naked@MM" bekannt, trifft als Dateianhang mit einer E-Mail ein. Deren Begleitworte dürften vor allem männliche Windows-Nutzer zum Aufrufen der EXE-Datei animieren - die daraufhin versucht, sich weiterzuversenden und System-Dateien sowie Anwendungen zu löschen.

Utimaco SafeGuard Sign&Crypt durch SAP zertifiziert. Mit SafeGuard Sign&Crypt 3.0 bietet Utimaco Safeware eine Lösung zur Sicherung von Arbeitsprozessen in SAP-Applikationen an. Das Sicherheitssystem ermöglicht die Integration von digitalen Signaturen und Verschlüsselung in die Sicherheitsarchitektur von mySAP.com und hat das dazu erforderliche Zertifizierungsverfahren von SAP nun erfolgreich durchlaufen.

Debugger knackt Palm-Passwörter. Die im Bereich Netzwerk-Sicherheit tätige Firma @stake veröffentlichte jetzt einen Bericht, der beschreibt, dass sich die Passwörter des PDA-Betriebssystems PalmOS ohne große Schwierigkeiten knacken lassen. Damit sind vermeintlich geschützte Daten keineswegs vor Fremden sicher.

"LoveLetter" stirbt wohl niemals aus. Schon wieder einmal treibt eine Love-Letter-Variante ihr Unwesen. "Myba" heißt der neue Spross, der nach Angaben von Kaspersky Labs als Exe-Datei daherkommt, die wieder in Visual Basic geschrieben wurde und Merkmale des "LoveLetter" aufweist.

RFC 3041 beschreibt die zufällige Generierung von IPv6-Adressen. Mit einem neuen Standard will die IETF (Internet Engineering Task Force) die Identifikation von Web-Surfern und die Gewinnung von Daten über ihr Surfverhalten erschweren. Der neue Standard ist von der IETF als RFC 3041 veröffentlicht worden und soll aufzeigen, wie zufällig generierte Informationen statt identifizierbarer Daten verwendet werden können.

Wurm nutzt Peer-to-Peer-Netz Gnutella zur Verbreitung. Hersteller von Antivirensoftware warnen vor einem neuen Wurm namens "Mandragore", der sich über den Peer-to-Peer-Dienst Gnutella ausbreitet. Bereits im Mai 2000 hatte Seth MacGann in der Sicherheitsmailingliste auf diese Sicherheitslücke hingewiesen, ausgenutzt wurde sie bisher aber nicht.

"F-Secure Anti-Virus for Internet-Mail" fahndet nach schädlichen Dateianhängen. Der Antiviren-Anbieter F-Secure bietet ab sofort mit "Anti-Virus for Internet-Mail" auch einen Virenscanner an, der E-Mails auf Gateway-Ebene nach schädlichen Mail-Anhängen durchforstet. Das soll Unternehmen von Viren-Attacken per E-Mail verschonen.

Mehr als jedes zehnte Unternehmen hatte schon Sicherheitsverletzungen. Fast jedes zweite Unternehmen in Deutschland fürchtet Hacker als größtes Sicherheitsrisiko für sein E-Commerce-System. Bei 11 Prozent der Unternehmen ist es nach eigenen Angaben in den letzten zwölf Monaten zu Sicherheitsverletzungen ihres E-Commerce-Systems gekommen, wobei es sich hier nur um die entdeckten und gemeldeten Fälle handelt. Und die Angst der Unternehmen vor Hackern scheint berechtigt: Denn ganz überwiegend waren es Firmenfremde, die das E-Commerce-System angegriffen haben. Das sind die wichtigsten Ergebnisse einer Umfrage zur Wirtschaftskriminalität im E-Commerce, die KPMG unter den großen deutschen Unternehmen durchgeführt hat.

Wann die deutsche Version erscheint, steht noch nicht fest. Mit QuikSync 3 bringt Iomega in den USA erstmals eine Version des Backup-Programms heraus, das nicht nur mit Iomega-Hardware funktioniert. Alle Vorversionen waren auf den Einsatz mit Laufwerken von Iomega beschränkt. Die Software legt automatisch Sicherungen von veränderten Dateien an und sorgt so für aktuelle Backups.

Kostenloser Sicherheits-Check auf Deutsch. Ab sofort stellt Symantec eine deutsche Version des kostenlosen Security Check bereit: Auf Knopfdruck überprüft das Programm den PC des Anwenders online auf Virenbefall und potenzielle Sicherheitslücken. Konkrete Anleitungen sollen dem User anschließend helfen, seinen Rechner sicherer zu machen.

Zur Verhinderung von Brute- und Smartforce-Hacker-Angriffen. Der Domino Server bietet zwar umfangreiche Sicherheitsmechanismen, doch mit SecureDomino des Drittherstellers Timetoact steht für den Domino Server nun auch eine Intruder Detection Software zur Verfügung, mit der Brute-Force-Attacken abgewehrt werden können.

Versionen für PalmOS und Windows Pocket PCs. Der Internetdienstleister iPass hat eine PDA-Software für PalmOS und den Pocket PC angekündigt, mit dem sichere Internet-Wählverbindungen zwischen PDA und Firmennetzwerk realisiert werden können. IPass betreibt ein eigenes Netzwerk mit über 10.000 Accesspoints rund um den Globus. Die Softwarelösung ist deshalb auch nur für dieses Netz gedacht.

Windows Powered Smart Cards für mobile GSM-Applikationen. Microsoft ist jetzt Mitglied der GSM Association, ein Zusammenschluss von über 514 Betreibern von Mobilfunknetzen der zweiten und dritten Generation sowie Herstellern für die GSM-Industrie. Als assoziiertes Mitglied will Microsoft vor allem seine Windows Powered SIM (Subscriber Identity Module) Smart Cards an Mobilfunknetzbetreiber herantragen.

"NAI hat eine andere Vision für PGPs Zukunft". Philip Zimmermann, der Programmierer des Public-Key- bzw. Private-Key-Verschlüsselungsprogramms Pretty Good Privacy (PGP), hat Network Associates Inc. (NAI) verlassen, wie er in einem offenen Brief an die PGP-Gemeinde mitteilte. NAI hatte im Dezember 1997 das von Zimmermann gegründete Unternehmen PGP Inc. gekauft und ihn als technischen Berater angestellt.

Neue deutsche Variante des Anna-Kournikova-Computervirus. Nachdem Anfang der Woche der Virus VBS_Kalamar.A, alias VBS.SST alias AnnaKournikova sein Unwesen trieb, folgt nun eine neue, speziell deutsche Variante des Virus. Diesmal ist es "Robert T. Online", der die gefährliche Botschaft transportiert. Der Absender "support@t-online.de" täuscht eine vertrauenswürdige Herkunft der E-Mail vor und das Attachment "Neue Tarife.txt.vbs" ermutigt, gerade nachdem T-Online gestern neue Tarife angekündigt hat, zum unvorsichtigen Öffnen.

Mit dem ISA Server will Microsoft für Unternehmenssicherheit sorgen. Mit dem jetzt veröffentlichten Internet Security and Acceleration (ISA) Server bietet Microsoft nun auch ein Firewall- und Web-Cache-Produkt für Unternehmen an. Nach Angaben von Microsoft stecken in dem neuen Produkt drei Jahre Entwicklungszeit.

Täter geständig und reumütig. Nach Meldungen von Anti-Virenherstellern konnte der niederländische Autor des Kournikova-Virus festgenommen werden. Die schwedische Firma Atremo hat nach eigenen Angaben den "Namen" des vermutlichen Täters dem FBI übergeben, nachdem man durch Newsgroups und Webforen auf die Spur des Täters gekommen war, so das Unternehmen.

SSH-Erfinder Tatu Ylonen will gegen Markenrechtsverletzungen vorgehen. Der Entwickler der Secure Shell (SSH) Tatu Ylonen bzw. seine Firma SSH Communications Security wollen offenbar gegen die unerlaubte Benutzung ihrer Marken SSH und Secure Shell vorgehen. Davon betroffen ist auch die freie SSH-Implementierung OpenSSH.

Loveletter-ähnlicher VBS-Virus. Der VBS.SST ist ein weiterer Visual-Basic-Script-(VBS-)Wurm, der sich, wie schon andere Würmer vor ihm, des Mailclients "Outlook" von Microsoft bedient, um sich selbst zu verschicken. Der Virus versucht sich als Foto der Tennisspielerin Anna Kournikova zu tarnen und kommt wie der Loveletter als Dateianhang, also als Attachment auf den Rechner.

Alter Patch macht neue Probleme. Bereits 1998 ist im sicheren Telnet-Ersatz Secure Shell (SSH1) mit der Protokoll-Version 1.5 eine Sicherheitslücke aufgetreten, die es Angreifern erlaubt, gefährliche Pakete in den verschlüsselten SSH-Datenstrom einzuspeisen. So könnte es gelingen, Programme auf Client oder Server auszuführen. Nun hat man eine Sicherheitslücke im entsprechenden Patch entdeckt.

Sicherheit durch Open Source und ständige Überwachung. Innominate bietet jetzt eine umfassende Firewall-Lösung aus einer Hand an. Das neuartige Konzept beinhaltet sowohl die innominate Protected Firewall 2010, als auch den für einen dauerhaft hochwertigen Schutz notwendigen Überwachungs- und Aktualisierungsservice.

Download ab sofort möglich. Microsoft hat einen Patch veröffentlicht, der eine Sicherheitslücke in Microsoft Windows NT schließen soll, die unter dem Namen "NTLMSSP Privilege Elevation" bekannt geworden ist. Die Sicherheitslücke konnte im schlimmsten Fall den Angreifer in die Lage versetzen, auch als normaler User zu Administratorenrechten auf der betroffenen Maschine zu kommen.

Download sofort möglich. Microsoft hat einen Patch veröffentlicht, der eine Sicherheitslücke in Microsoft Windows 2000 schließen soll, die unter dem Namen "Network DDE Agent Request" bekannt geworden ist. Die Sicherheitslücke konnte im schlimmsten Fall den Angreifer in die Lage versetzen, den betroffenen Rechner komplett unter Kontrolle zu bekommen.

IdentiGuard gegen Verlust oder Missbrauch von Passwörtern. Kingston Technology, ein Hersteller von Memory-Modulen und Anbieter von PC-Peripherie-Produkten, hat eine neue Linie von biometrischen Identifikationssystemen angekündigt. Mit dem Produkt "IdentiGuard" für Notebook und PC soll die Verwendung von Passwörtern sicherer gemacht werden: Sie wird auf einen simplen Fingerabdruck reduziert.

Patent für deutsche Internet-Forscher. Wissenschaftler aus Rheinland-Pfalz haben ein System entwickelt, das firmeninterne Computer im Internet sicherer vor unberechtigten externen Zugriffen schützten soll als "Firewalls". Für ihre Erfindung erhielten die Forscher des Trierer Instituts für Telematik jetzt Patentschutz, das teilte die mit der Fraunhofer-Gesellschaft verbundene Institution am Montag mit. Ihre "Lock-Keeper" genannte Schleusenlösung soll "Hackern" dadurch wirksam das Handwerk legen, dass niemals eine direkte physikalische Verbindung des firmeneigenen Netzes mit dem Internet zugelassen wird.

Retina 3.0 setzt künstliche Intelligenz gegen Hacker ein. Ab sofort bietet die Software-Firma eEye das Sicherheits-Programm Retina mit zahlreichen Neuerungen in der Version 3.0 an. Retina soll dabei Netzwerke durch Einsatz künstlicher Intelligenz gegen Hacker-Angriffe schützen.

Enhanced Software Technologies zeigt Backup-Software BRU-Pro. Enhanced Software Technologies zeigt auf der LinuxWorld seine neue Linux-basierte Backup-Lösung BRU-Pro. Die Software soll die Produktpalette von EST um eine skalierbare, einfach zu bedienende und automatisierbare Cross-Plattform-fähige Backup-Lösung erweitern.

X-Master verwaltet verschiedene Hack-Konfigurationen. Mit X-Master buhlt neben EVPlugBase ein weiterer kostenloser HackMaster-Clone um die Gunst der Palm-Anhänger. X-Master 1.0 von LinkeSoft soll kompatibel zu allen verfügbaren Palm-Systemerweiterungen sein, die man weithin als Hacks bezeichnet.

Auch am Freitag fiel Microsofts Website kurzfristig aus. Nach der letzten Woche, in der Microsofts Website gleich zweimal für mehrere Stunden eine Auszeit nahm, will Microsoft jetzt Lehren aus den DOS-Attacken ziehen. Auch am Freitag legten Angreifer Microsofts Website zweimal mit Denial-of-Service-Attacken auf Microsofts Netz kurzzeitig lahm.

Falsche DNS-Konfiguration legt MS-Webseiten lahm. Microsoft entschuldigt sich bei seinen Kunden für den fast kompletten Ausfall aller Webseiten des Software-Konzerns. Auf Grund einer falschen Konfiguration der eigenen DNS-Server waren die Microsoft-Webseiten gestern fast den gesamten Tag nicht erreichbar gewesen.

BSI soll Risiken aufklären. Das Bundesaufsichtsamt für das Kreditwesen und die Deutsche Bundesbank wollen in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die technischen Sicherheitsvorkehrungen der E-Banking-Plattformen verschiedener Kreditinstitute in einem langfristig angelegten Projekt untersuchen. In die Untersuchung sollen zunächst insbesondere Institute einbezogen werden, die einen hohen Anteil ihrer Geschäftsvorfälle mit Privat- oder Firmenkunden über das Internet abwickeln.

Sichere Kommunikation soll Crackern das Leben schwer machen. Das FBI (Federal Bureau of Investigation) und das NIPC (National Infrastructure Protection Center) stellten in der vergangenen Woche in den USA das "National InfraGard Program" vor. Das bereits 1996 als Pilotprojekt gestartete Programm soll helfen, kritische Computersysteme besser zu schützen.

Anti-Viren-Software auf dem Prüfstand. Anti-Viren-Programme versprechen optimalen Schutz vor Würmern, Viren und Trojanern. Doch allein auf Virenscanner zu vertrauen, reicht nicht aus, wie der Test von 14 Programmen in Ausgabe 2/2001 des Computermagazins c't zeigte. Spätestens seit dem ILOVEYOU-Wurm ist Anti-Viren-Software in aller Munde. Hundertprozentige Sicherheit kann sie jedoch auch nicht bieten. Denn die Virenscanner erkennen nur ihnen bekannte Schädlinge zuverlässig, so dass sie auf aktuelle Viren-Signaturen angewiesen sind. Bei geringfügig modifizierten Viren müssen die meisten Programme daher schon passen. Noch mehr Probleme bereitet ihnen das Aufspüren völlig neuer Viren und die Reinigung infizierter Dateien, so die c't.

Interbase enthält Hintertür - Passwort für jeden einsehbar. Borland hat seine Datenbank Interbase seit Jahren mit einer Hintertür ausgestattet, die es jedem erlaubt, über den Port 3050 lokal oder per remote auf die Datenbank zuzugreifen. Das dazu benötigte Passwort steht klar im Quelltext, der als Open Source einsehbar ist.