IT-Sicherheit

Datenschutz-Zentrum Schleswig-Holstein mahnt mit Aufkleber. Laut dem Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein ist dank der politischen Folgen des Attentats vom 11. September bald gar nichts mehr vom Datenschutz übrig. Mit Rasterfahndung, Vorfeldkompetenz für die Polizei, Biometrie im Ausweis, neuen Geheimdienstzugriffen und Ähnlichem dürfe man den Datenschutz "nicht tiefer" hängen.

E-Mail-Wurm verbreitet sich explosionsartig im Internet. An diesem Montag entglitt mit Badtrans.B ein Wurm in die Weiten des Internets, der sich so stark verbreitete, wie man es bisher nicht kannte. Das berichten übereinstimmend alle namhaften Hersteller von Antiviren-Software, was sich mit den Erfahrungen von Golem.de deckt. Damit stellt der Wurm selbst die seinerzeit lawinenhafte Verbreitung vom SirCam-Wurm in den Schatten. Hauptgrund für die Badtrans-Epidemie sind im Wesentlichen nicht gestopfte Sicherheitslücken in Microsoft-Produkten.

Badtrans-Wurm schleust Trojaner ins System ein und nutzt Sicherheitsloch. Zahlreiche Hersteller von Antiviren-Software warnen vor einer neuen Variante des im April aufgetauchten Wurms "Badtrans", der sich zurzeit sehr stark verbreitet. Der Wurm hört auf den Namen W32.Badtrans.B@mm, beantwortet alle ungelesenen Nachrichten im E-Mail-Postfach und durchforstet den Internet-Cache nach E-Mail-Adressen, was zu einer Mail-Lawine führt. Außerdem schleust er einen Trojaner ins Windows-System ein, der nach Kennwörtern und vertraulichen Daten fahndet.

BMWi vergibt exklusiv zwei Sonderpreise. Am 22. November 2001 wurden im Fraunhofer-Institut für Graphische Datenverarbeitung IGD in Darmstadt die diesjährigen Förderpreise für Innovationen und herausragende Arbeiten aus dem Bereich IT-Security vergeben.

Virenscanner: Ergebnisse zwischen Demo- und Vollversion unterscheiden sich. In der vergangenen Woche tauchte auf zahlreichen PalmOS-Download-Seiten ein Virenscanner für PalmOS auf, der in der Demo-Version andere Analyse-Ergebnisse liefert als in der registrierten Version. Ein Anwenderbericht vom Wochenende erklärt die Hintergründe, warum die Demo-Version vermeintlich verseuchte Dateien findet, die nach der Registrierung auf wundersame Weise gesundet sind.

Im Mai 2001 entdeckter Internet-Wurm Aliz ruft neue Epidemie hervor. Kaspersky Lab warnt vor dem Internet-Wurm "Aliz", weil zahlreiche Infektionsfälle aus vielen Ländern gemeldet wurden. Die bösartige Software verbreitet sich via E-Mail-Anhang und tarnt sich als Windows-Anwendung (PE-EXE-Datei).

Hervorragende Wachstumschancen in Europa prognostiziert. Nach Einschätzungen der Giga Information Group gelten für 2002 der Bereich Sicherheitstechnologie und der verstärkte Einsatz des Breitbandfunks als eindeutige Wachstumsfelder. Insbesondere vor dem Hintergrund weiterer zu befürchtender Terroranschläge in den USA und in Europa prognostiziert Giga-Analyst Rob Enderle sowohl einen schnell wachsenden Bedarf an Sicherheitsfunktionen - zur schnellen Kontaktaufnahme mit mobilen Mitarbeitern von Unternehmen und Organisationen - als auch einen Ausbau von Multimedia-Applikationen auf der Basis des Breitbandfunks.

Tools-Sammlung umfasst verbesserten Virenscanner und Windows-XP-Unterstützung. Ontrack bringt die Tools-Sammlung SystemSuite in der neuen deutschsprachigen Version 4.0 Ende November in den Handel. Sie enthält erstmals eine Personal Firewall und bietet einen verbesserten Virenscanner, der jetzt auch eingehende E-Mails auf Infektionen überprüft.

Englischsprachige Patches bereits verfügbar. Wie Microsoft in einem aktuellen Security Bulletin mitteilt, sind erneut Sicherheitslöcher im Windows Media Player aufgetaucht. Die Probleme betreffen die Versionen 6.4, 7.0 und 7.1 des Windows Media Player und auch die Version, die in Windows XP implementiert ist. Microsoft bietet bislang nur englischsprachige Patches an.

SSH Communications Security kündigt SSH Secure Shell für Nokia 9120 an. SSH Communications Security kündigte jetzt eine SSH Secure Shell für Handhelds an. Das Secure-Shell-Produkt auf Basis von SymbianOS bietet gesichterte IP-Verbindungen für drahtlose Endgeräte.

Open-Source-Chat-Programm mit starker Verschlüsselung. Mit PSST hat der Programmierer David McNab ein kleines, noch in Entwicklung befindliches Chat-Programm als Open Source freigegeben, das eine besonders sichere direkte Kommunikation zwischen zwei Rechnern erlauben soll.

Schutz vor Bedrohungen aus dem Internet. Das Unternehmen Internet Security Systems baut die Aktivitäten des eigenen Spezialisten-Teams "X-Force" im Kundenbereich durch neue Service-Angebote aus. Neben Schwachstellen-Analysen testen die Fachleute von Internet Security Systems auf Wunsch des Kunden ein Netzwerk auf Einbruchsicherheit durch authentische Hacking-Aktionen.

Deutschsprachiger Patch für den Internet Explorer 5.5 und 6.0 verfügbar. Am 9. November informierte Microsoft über ein Sicherheitsloch in der Cookie-Verwaltung der beiden Browser Internet Explorer 5.5 sowie 6.0 und reicht jetzt einen Patch dagegen nach. Diese Sicherheitslücke erlaubt es Angreifern, Daten in beliebigen Cookies zu lesen und zu verändern.

Schutz vor E-Mail-fähigen Viren. Sophos teilte mit, dass der Sophos MailMonitor für SMTP ab sofort verfügbar ist. Unternehmen sollen mit der Gateway-Antiviren-Lösung Schutz vor Viren in E-Mails erhalten, die über das Standard-Protokoll für die E-Mail-Kommunikation im Internet verschickt wurden. MailMonitor für SMTP ist derzeit für die Windows-NT/2000-Plattform, in Kürze aber auch für Linux erhältlich.

Software-Firewall funktioniert auch mit Windows XP. Die McAfee Firewall 3.0 von Network Associates (NAI) verträgt sich jetzt auch mit Windows XP und besitzt eine Intrusion Detection und einen Applikations-Scan mit Lernfunktion. Zudem wurde ein visuelles und akustisches Alarmsystem integriert.

Integrieren Firewall, VPN und Netzwerk-Lösungen. Symantec präsentiert mit den neuen Firewall-Systemen Symantec Firewall/VPN 100, 200 und 200R Systeme, die Firewall, VPN und Vernetzung mit weiteren Fähigkeiten in einem Gerät integrieren. Dabei zielt man vor allem auf Telearbeitsplätze, Unternehmensfilialen und kleine Unternehmen ab und verspricht, dass selbst unerfahrene Anwender diese Geräte in wenigen Minuten installieren können.

Vorschlag für eine Richtlinie des Europäischen Parlaments und des EU-Rates. Das Parlament überlässt es mit der Annahme des zweiten Berichts den Mitgliedstaaten zu entscheiden, inwieweit Spam-E-Mail-Werbung nur nach vorheriger Zustimmung verschickt werden darf. Alternativ zu der so genannten Opt-in-Lösung können die Mitgliedstaaten vorsehen, dass die Betroffenen nur die Möglichkeit haben, sich von den Werbeverteilern streichen zu lassen (= Opt-out-Lösung).

Höhere Verschlüsselung und eingebaute Firewall. Apple hat neue Geräte der schnurlosen AirPort-Produktreihe angekündigt, mit denen einfache WLANs aufgebaut werden können. Die neuen AirPort-Basisstationen arbeiten nach dem 802.11b-Standard, unterstützen eine 128-Bit-Verschlüsselung und integrieren einfache Firewallfunktionalität. Es können maximal 50 Geräte über eine AirPort-Basisstation verwaltet werden.

Zugriff auf Unternehmensdaten mit BSafe von RSA. Wie Palm auf der Comdex 2001 in Las Vegas mitteilte, wird Palm künftig mit RSA Security zusammenarbeiten, um die Sicherheit von PalmOS zu erhöhen. Gerade Firmenkunden will Palm damit ansprechen.

Akzeptanz biometrischer Verfahren hängt stark vom Einsatzbereich ab. Kurz nach den Ereignissen am 11. September 2001 erkundete das iX Magazin in einer Online-Umfrage die Akzeptanz von biometrischen Verfahren. Über 60 Prozent der 3676 Befragten akzeptierten die Identifikation per Fingerabdruck - aber eher am Arbeitsplatz als im öffentlichen Bereich. Die vollständigen Umfrage-Ergebnisse veröffentlicht iX in seiner aktuellen Ausgabe 12/01, zusammen mit einer detaillierten Beschreibung der technischen Grundlagen von Biometrie-Verfahren.

Patch zum Stopfen der Sicherheitslücke noch nicht fertig. Wie Microsoft in einem aktuellen Security Bulletin mitteilt, besitzen mindestens die Versionen 5.5 und 6.0 des Internet Explorer eine Sicherheitslücke, die es Angreifern ermöglicht, Daten in Cookies zu lesen und zu verändern. Einen Patch dagegen bietet Microsoft bislang nicht an, will dies aber so schnell wie möglich nachholen.

OpenSSH jetzt auch mit Smartcard-Unterstützung. OpenSSH, eine freie, zu 100 Prozent zu den SSH Protokoll-Versionen 1.3, 1.5 und 2.0 kompatible Implementation, ist jetzt in der Version 3.0 verfügbar. Diese enthält neben zahlreichen Bugfixes nun auch SFTP-Client- und Server-Support.

Microsoft muss Dienst abschalten; Bestätigung für Sorgen von Datenschützern. Ende vergangener Woche deaktivierte Microsoft bis auf weiteres den Passport-Dienst Wallet, weil ein Open-Source-Programmierer eine empfindliche Sicherheitslücke darin aufgedeckt hatte. Damit erlitt das Ziel von Microsoft, eine zentrale Datenbank von Surfern anzulegen, einen empfindlichen Rückschlag und bestätigt damit Bedenken der Datenschützer.

Anerkennung von Gutachtern und Prüfstellen beginnt. Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein hat am heutigen Tage die Unterlagen für Anträge auf Anerkennung als Gutachter bzw. sachverständige Prüfstelle nach der Datenschutzauditverordnung veröffentlicht und damit das Verfahren zur Anerkennung von Gutachtern und sachverständigen Prüfstellen für das Gütesiegel nach schleswig-holsteinischem Datenschutzrecht eröffnet.

Gesellschaft für Informatik warnt vor Katalogisierung der Bevölkerung. Als "bedenkliche Katalogisierung der Gesamtbevölkerung" hat der Präsident der Gesellschaft für Informatik e.V. (GI), Heinrich C. Mayr, die Vorlage der Bundesregierung zum Terrorismusbekämpfungsgesetz bezeichnet, auf Grund derer künftig biometrische Daten in den Personalausweis integriert werden sollen. Die Gesellschaft für Informatik warnt davor, eine Online-Datenbank mit den Daten aller in Deutschland gemeldeten Personen inklusive biometrischer Daten anzulegen.

Zugangskarte für vier Millionen ziviles und militärisches Personal. Infineon soll die Mikrocontroller-Chips für den neuen Ausweis der Mitarbeiter des US-amerikanischen Verteidigungsministeriums liefern. Die Chipkarte mit der Bezeichnung "Common Access Card" (CAC) ist nach Herstellerangaben die gegenwärtig einzige, die die strengen Sicherheitsanforderungen des US-Department of Defense (DoD) erfüllt.

Schadroutine überschreibt am 13. eines Monats zahlreiche Dateien. Seit dem Wochenende verbreitet sich laut Symantec ein neuer Mail-Wurm namens W32.Klez.A@mm mit rasanter Geschwindigkeit, der eine Sicherheitslücke in Outlook und Outlook Express ausnutzt, wodurch der Wurm schon bei der Mail-Vorschau ausgeführt wird.

Vielreisende können Chipkarte erwerben. CMG hat den Flughafen Schiphol bei Amsterdam mit einer Augenkontrolle für Reisende ausgestattet. Hierbei identifiziert ein Iris-Scanner Fluggäste allein durch den Blick ins Auge. Das System vergleicht die Iris des Reisenden mit Informationen auf einer Chipkarte, die der Fluggast mit sich führen muss. Das Verfahren gilt als so sicher, dass die traditionellen Ausweispapiere nicht mehr vorgezeigt werden müssen. Neben der höheren Sicherheit wird vor allem für Vielreisende der Durchgang am Flughafen erleichtert.

Nach kurzer Zeit erreicht der Wurm I-Worm/ANTS3 bereits hohe Verbreitung. Seit kurzem geistert ein neuer Wurm durch die E-Mail-Dickichte, der sich als das kostenlose Trojaner-Scanprogramm ANTS ausgibt. Tatsächlich ist es aber ein Wurm, der die Festplatte nach E-Mail-Adressen durchsucht und sich an diese versendet. Schon nach kurzer Zeit konnte sich der Wurm I-Worm/ANTS3 besonders im deutschsprachigen Internet sehr stark verbreiten.

Zwei neue Firewall-Router für den SoHo-Markt. Netgear hat zwei neue Mitglieder seiner Router-Familie vorgestellt. Der Kabel/DSL Virtual-Private-Network-(VPN-)Router FV318 und der Kabel/DSL-Firewall-Router FR318 sind abgestimmt auf die Budgets von kleineren und mittelständischen Unternehmen.

Steganos Disk Encryption mit AES-128-Bit-Verschlüsselung. Steganos, ein Hersteller von Sicherheits-Software, nimmt mit Steganos Disk Encryption eine Software in das Programm, die alle Daten auf einer kompletten Partition in Echtzeit verschlüsselt. Das soll den Zugang Unbefugter verhindern und Daten vor Fremden verbergen.

Inhaltliche und finanzielle Argumente und Migrationsprogramme aufgelegt. Nach Darstellung von Sun gibt es eine zunehmende Unsicherheit bei Unternehmen, die von den aktuellen Systemablösungen bei Microsoft und Compaq betroffen sind. In die Bresche will nun Sun springen und neue Programme für den Wechsel in die Sun-Computerwelt anbieten.

CIAC warnt vor der Übermittlung von Fehlerberichten an Microsoft. Wie das "Computer Incident Advisory Capability office" (CIAC) des amerikanischen Energieministeriums in einem Security Bulletin mitteilte, können bei der Übertragung von Bug-Reports in Microsoft-Produkten auch vertrauliche Daten nach Redmond gelangen.

Schutz von Computern durch kryptographische Schlüssel. D-Trust zeigt auf der IT-Messe Systems in München, wie die unberechtigte Nutzung von Firmennetzen durch Geräte-Authentisierung verhindert wird. So kann u. a. sichergestellt werden, dass Außendienstmitarbeiter nur mit firmenintern registrierten Softwarepaketen und Rechnern Zugang zu sensiblen Daten haben. Fremde Computer, auch von berechtigten Nutzern, werden automatisch abgewiesen.

Zuverlässige, billige und ergonomische Sicherheitsmaßnahmen angemahnt. Experten aus Wirtschaft und Wissenschaft forderten auf dem ersten Darmstädter Sicherheitstag IT-Sicherheitstechnik, die zuverlässig, billig und vor allem auch für Laien bequem zu benutzen ist. Die Technologien seien vorhanden, mit denen die Übertragung von Daten sicher vor fremden Augen gemacht werden kann. Doch sie seien derzeit noch zu teuer und für Laien viel zu schwierig zu bedienen und das hemme ihren breiten Einsatz, so die Experten.

Dünne Batterien sollen zwei Jahre halten; Akku-Technik in der Entwicklung. Die israelische Firma Power Paper stellt eine neue, patentierte Batterie-Technik vor, die extrem dünn ausfällt und daher besonders in kleinen, flachen Geräten mit geringem Stromverbrauch wie etwa Smart Cards oder elektronischen Etiketten eingesetzt werden kann. Die flexiblen Batterie-Zellen sollen so die Einsatzfähigkeiten kleiner Geräte in einem Maß erhöhen, das bislang so nicht möglich war.

Konzertierte Aktion für E-Government angemahnt. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) hat anlässlich der Systems 2001 ein stärkeres Engagement der deutschen Politik für Sicherheit in der Informationstechnik, im Internet und der Telekommunikation gefordert. Bitkom-Vizepäsident Willi Berchtold verwies auf ein 30-Milliarden-Dollar-Programm der US-Regierung zur Absicherung gegen Cyber-Kriminalität. Bitkom begrüßt und unterstützt die Initiative von Innenminister Schily zum Einsatz des Fingerabdrucks als Identifikationsmerkmal.

NAI meldet Verlust von 11,3 Millionen US-Dollar. Network Associates hat im jetzt beendeten dritten Quartal Umsätze in Höhe von 209 Millionen US-Dollar erzielt, ohne McAfee.com waren es 193 Millionen US-Dollar. Unter dem Strich resultierte dabei ein Nettoverlust von 11,3 Millionen US-Dollar.

Daten unbeteiligter Personen sollten schnellstmöglich wieder gelöscht werden. Als gefährlich für den Wissenschafts- und Wirtschaftsstandort Deutschland hat der Präsident der Gesellschaft für Informatik e.V. (GI), Prof. Dr. Dr.h.c. Heinrich C. Mayr, die Diskussion um die Rasterfahndung nach den Terroranschlägen in New York und Washington bezeichnet.

Sicherheits- und Managementsoftware sowie Hardware im Vordergrund. Neben den neuen Notebooks, die IBM vorgestellt hat, sind auch noch weitere Produkte an den Start gegangen. Neben Produkten für erhöhte Datensicherheit wurden auch Produkte zur Systemwiederherstellung und Softwaredistribution vorgestellt.

Integrierte Lösungen sind gefragt. Im Jahr 2000 waren weltweit 1,79 Milliarden SmartCards im Einsatz. Laut einer Analyse der Unternehmensberatung Frost & Sullivan soll der Markt auch weiterhin stark an Volumen zulegen. So wird die Zahl der genutzten Karten im Jahr 2004 bereits bei 3,66 Milliarden liegen.

KMail und mutt sollen zu Sphinx-kompatiblen Clients ausgebaut werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) lässt Sphinx-Clients zur sicheren E-Mail-Kommunikation als freie Software unter der GNU GPL entwickeln. Dabei sollen KMail und mutt mit S/MIME- und X.509-Fähigkeiten ausgestattet werden.

Umgehung sämtlicher Sicherheitsmaßnahmen. Auf Grund eines Hinweises von Peter Ferrie von Symantec sieht sich Microsoft genötigt, in einem Schreiben vor Gefahren neuer Makroviren zu warnen, die sämtliche bisherigen Sicherheitsmaßnahmen in Excel und Powerpoint umgehen, die normalerweise dazu führen sollen, dass Makros selbstständig ausgeführt werden und der Anwender über die Anwesenheit von Makros in einem Dokument gewarnt wird.