Windows Rootkits — eine aktuelle Bedrohung

Zusammenfassung  Die Verbreitung von Rootkits hat in den vergangenen Jahren enorm zugenommen. Gerade Rootkits unter Windows werden unter Sicherheitsexperten als wichtiges Thema der Zukunft angesehen. Mittlerweile werden Rootkits, ehemals als reine „Schadwerkzeuge“ bekannt, auch immer mehr in „legalen“ Szenarien eingesetzt. Im vorliegenden Beitrag werden die Funktionsweise von Rootkits und die verwendeten Verbergungstechniken vorgestellt. Wilhelm Dolle ist in der Gesch?ftsleitung der interActive Systems GmbH in Berlin für den Bereich Information Technology und IT Security zust?ndig. Dr. Christoph Wegener ist freier Berater mit den Schwerpunkten IT-Sicherheit und Linux/Open Source und Leiter des Bereichs Business Development bei der gits AG in Bochum.     

PoliTeam – Kokonstruktive und evolutionäre Entwicklung einer Groupware

Zusammenfassung   Im Zusammenhang mit der geplanten Verlagerung des Parlaments und von Teilen der Regierung von Bonn nach Berlin f?rdert das Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie (BMBF) Projekte, die sich mit der Zusammenarbeit r?umlich verteilter gro?er Organisationen besch?ftigen. Das „PoliTeam“-Projekt hat dabei das Ziel, die asynchrone Zusammenarbeit der beteiligten Anwenderorganisationen durch die Einführung und „kokonstruktive“ und evolution?re Weiterent-wicklung eines Softwaresystems für kooperatives Arbeiten zu unterstützen. Der vorliegende Beitrag beschreibt den Design- und Entwicklungsansatz von PoliTeam, gibt Beispiele für die Umsetzung und dokumentiert Erfahrungen aus dem Projekt. Eingegangen in überarbeiteter Form am 11.03.1998     

Usable Security und Privacy

Bedienbarkeit, Verst?ndlichkeit und Akzeptanz von Schutzmechanismen stehen bei deren Entwicklung in der Regel nicht im Vordergrund — obwohl sie nachweislich einen erheblichen Einfluss auf das (sicherheitsad?quate) Verhalten der Nutzer haben. Die Autoren geben einen überblick über die bisherigen Ans?tze auf dem Gebiet „Usable Security and Privacy“ und zeigen den weiteren Forschungs- und Entwicklungsbedarf auf.     

Implementierung großer biometrischer Systeme

Zussammenfassung  Welche Kriterien müssen biometrische System mit zahlreichen Nutzern erfüllen? Im vorliegenden Beitrag werden wesentliche Kriterien aus internationalen Standards und „Good-Practice“ Vorgehensmodellen hergeleitet. Diese Kriterien werden auf den ePass angewandt und Vorschl?ge für die Weiterentwicklung von Technik- und Sicherheitskonzept vorgestellt. Dr. Martin Meints Dr. Meints ist Mitarbeiter des Unabh?ngigen Landeszentrums für Datenschutz und arbeitet dort vor allem im EU-Projekt FIDIS Wesentliche Teile dieser Arbeit sind mit Mitteln der Europ?ischen Union im Rahmen des „Projektes Future of Identity in the Information Society“ (FIDIS, www.fidis.net) gef?rdert worden.     

Messbare IT-Sicherheit

Zusammenfassung  Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Ansatz des IT-Grundschutzes war bereits Gegenstand von Beitr?gen in der DuD. Inzwischen hat das „Grundschutzhandbuch“ Eingang in die internationale Standard-Familie ISO 2700x gefunden. Der Autor berichtet über die Erfahrungen mit den ersten durchgeführten Zertifizierungen nach dem neuen ISO-Standard auf der Basis von IT-Grundschutz. Dr. Gerhard Weck: Leiter IT Security Consulting. der INFODAS GmbH K?ln. Derzeitiger Arbeitsschwerpunkt: Entwicklung und Vermittlung von Sicherheitskonzepten. Lizenzierter ISO 27001/IT-Grundschutz-Auditor. Autor bzw. Koautor mehrerer Bücher. Fellow der GI. Mitglied des Pr?sidiums-Arbeitskreises „Datenschutz und IT-Sicherheit“ der GI, Sprecher der Security SIG der HP User Society DECUS München e.V.     

Vertrauenswürdige Liste

Seit dem 28.12.2009 hat jeder Mitgliedstaat der Europ?ischen Union eine „vertrauenswürdige Liste“ mit Mindestangaben über die von ihm beaufsichtigten bzw. akkreditierten Zertifizierungsdiensteanbieter zu führen. Diese Ma?nahme soll dazu beitragen, dass elektronische Signaturen, die auf qualifizierten Zertifikaten beruhen, europaweit geprüft werden k?nnen. Der vorliegende Aufsatz enth?lt einen Rückblick auf Erfahrungen aus den ersten beiden Jahren und widmet sich der Frage, wie das bestehende System verbessert werden kann.     

Be better — Be secure

Mit einer Security Awareness-Kampagne werden die weltweit rund 260.000 Mitarbeiter der Bosch Gruppe seit 2005 für den verantwortungsbewussten Umgang mit Informationssicherheit und Datenschutz sensibilisiert. Der Beitrag stellt Zielsetzung, Konzeption und „Lessons Learned“ dieser internationalen Security Awareness Kampagne vor.     

Die Standards des eCard-API-Frameworks

Zusammenfassung  Die eCard-Strategie der Bundesregierung zielt auf die breite Verwendbarkeit der im Rahmen der verschiedenen Kartenprojekte der Bundesverwaltung ausgegebenen und genutzten Chipkarten ab. Eine besondere Rolle bei der Realisierung dieses Zieles spielt das eCard-API-Framework, durch das ein einfacher und einheitlicher Zugriff auf die Funktionen dieser unterschiedlichen Chipkarten erm?glicht wird. Um die nationale und internationale Akzeptanz dieses Rahmenwerkes nachhaltig sicherzustellen, wurde bei der Spezifikation des eCard-API-Frameworks auf international anerkannte Standards zurückgegriffen. Der Beitrag gibt einen kompakten überblick über das eCard-API-Framework und die wesentlichen damit zusammenh?ngenden Standards. Dr. Detlef Hühnlein ist seit mehr als zehn Jahren bei der secunet Security Networks AG — u.a. im Bereich Chipkartentechnologie — t?tig. Manuel Bach Manuel Bach ist seit 2005 im Referat Industriekooperation für das BSI t?tig und u.a. mit der Entwicklung des eCard-API-Frameworks betraut.     

Windows Rootkits — und ihre Erkennung

Zusammenfassung  Im vorangegangenen Beitrag wurde in die Funktionsweise von Windows Rootkits eingeführt und gezeigt, welche Bedrohung sie darstellen. Dieser Beitrag gibt einen überblick über die m?glichen Erkennungsverfahren und erl?utert ihre Funktionsweise. Wilhelm Dolle ist in der Gesch?ftsleitung der interActive Systems GmbH in Berlin für den Bereich Information Technology und IT Security zust?ndig. Dr. Christoph Wegener ist freier Berater mit den Schwerpunkten IT-Sicherheit und Linux/Open Source und Leiter des Bereichs Business Development bei der gits AG in Bochum.     

Archivierung von E-Mails

Die Archivierung von E-Mails ist für viele Unternehmen inzwischen ein aktuelles Thema. Aus rechtlicher Sicht kommen Fragen aus den unterschiedlichsten Richtungen auf. Welchen Sinn hat die Speicherung von E-Mails, wenn sie keinen Beweiswert haben? Müssen E-Mails mit Rücksicht auf die Steuerverwaltung und die Revision gespeichert werden? K?nnen einfach alle E-Mails gespeichert werden — was ist mit dem Fernmeldegeheimnis und dem Datenschutz der Mitarbeiter? Diesen Fragen geht der Beitrag nach.     

Grenzen des „digitalen Radiergummis“

Der Beitrag zeigt die prinzipiellen und technischen Untauglichkeiten der Durchsetzung des Konzepts eines „digitalen Radiergummis“ auf, mit dem Inhalte im Internet mit einem Verfallsdatum versehen und somit zeitlich begrenzt zug?nglich gemacht werden sollen.     

Auf dem Weg zu idealen Programmierwerkzeugen – Bestandsaufnahme und Ausblick

Zusammenfassung  Angeregt durch Robert W. Floyds Turing-Award-Lecture ,,The Paradigms of Programming“ von 1979 [6] und motiviert durch die Unzufriedenheit des Praktikers mit dem Stand der Softwaretechnik aus vielen Industrieprojekten, versucht dieser Beitrag eine Bestandsaufnahme der Programmiertechnik und identifiziert die Defizite aus Sicht der Grundprinzipien des Konstruktionsprozesses. Mit der Objektorientierung sind, besonders in den letzten Jahren, viele neue Programmiersprachen entstanden, die sowohl Wert auf schnelle Entwicklungszyklen als auch auf Erweiterbarkeit legen. Die heute haupts?chlich verwendeten Sprachen und Umgebungen sind von diesen Zielen weit entfernt. Das Entwickeln von Software ist zum einen zu kompliziert und zum anderen schmerzt die ,,semantische Lücke“ zwischen den ausdrückbaren und den erforderlichen Konzepten. Neue, viel versprechende Programmiersprachen, die sich durchweg auf Metaprogrammierung stützen, um die erforderliche semantische Erweiterbarkeit der Sprachen zu erreichen, deuten die Richtung zukünftiger Entwicklungen an.     

Kartenleser für den neuen deutschen personalausweis

Die Nutzung der Online-Authentisierungs-Funktion des neuen deutschen Personalausweises erfordert die Verwendung eines Chipkartenlesers. Dessen Sicherheitseigenschaften stehen dabei im Zusammenhang mit den anderen Komponenten des „Systems Personalausweis“. Der folgende Beitrag stellt die Eigenschaften der verschiedenen Lesertypen gegenüber und bewertet auf dieser Basis deren Vor- und Nachteile.     

Datenschutz in Online-spielen und anderen Virtuellen Welten

Mitte Juni 2010 kündigte Blizzard Entertainment, der Betreiber der Virtuellen Welten World of Warcraft und Starcraft II, sein neues Freundschaftssystem Real ID für seinen Online-Dienst Battle.net an. Real ID sollte die virtuellen Identit?ten mit den realen Spielern verknüpfen. In der Folge sah sich Blizzard Entertainment mit einer Flut von Beschwerden aus der Spielergemeinschaft konfrontiert und „ruderte zurück“. Der Beitrag behandelt zun?chst allgemeine datenschutzrechtliche Fragen bei Online-Spielen. Anschlie?end erfolgt anhand des Beispiels Real ID eine Analyse der datenschutzrechtlichen Voraussetzungen, die ein Freundschaftssystem in der virtuellen Welt bei einer Verknüpfung mit den realen Personen erfüllen muss.     

Alles bloß Werbung? Virenwarnungen,Security-Reports und Marketing

Zusammenfassung  „Verbraucher?ngste treiben Kosten für Online-Sicherheit in die H?he“ — so überschrieb Yahoo Finance am 7. Juni 2007 einen Beitrag zur Akzeptanz von Online-Banking und-Handel. Tenor: Zwar gehe die Zahl der Opfer, die aufgrund gestohlener Konto-und Kreditkarteninformationen gro?e finanzielle Verluste erlitten, seit l?ngerem konstant zurück. Gleichzeitig sei jedoch das Kundenvertrauen auf einem Tiefpunkt angelangt mit der Folge, dass zumindest in den USA immer weniger Verbraucher das Web für Eink?ufe oder überweisungen nutzten. Der Artikel sorgte für einige Aufregung — wenngleich nicht so, wie man sich das bei Yahoo gewünscht haben mag. Zum Autor: Thomas B?cker ist freier IT-Fachjournalist und seit 2005 Leitender Redakteur von IT-Sicherheit & Datenschutz.     

Datenschutz durch Prozesse

Zusammenfassung  Wie kann man den Datenschutz dauerhaft, zuverl?ssig und wirksam verankern? Ein Blick in die benachbarten Disziplinen des Qualit?ts- und IT-Sicherheitsmanagement zeigt, dass sich Musterprozesse bei vergleichbaren Aufgaben bew?hrt haben. In diesem Beitrag stellt der Autor einen Musterprozess für das Datenschutzmanagement vor, der für das Zusammenwirken mit dem IT-Sicherheitsprozess der IT-Grundschutzmethode entwickelt wurde. Dr. Meints ist Mitarbeiter des Unabh?ngigen Landeszentrums für Datenschutz und arbeitet dort v.a. im EU-Projekt FIDIS.     

Wahlgeräte in Deutschland

Zusammenfassung  Die Durchführung elektronisch gestützter Wahlen wird weltweit kritisch begleitet. Auch in Deutschland hat der Einsatz elektronischer Wahlger?te eine breite, überwiegend kritische Diskussion ausgel?st, die bis zu einem Verfahren beim Bundesverfassungsgericht führte. Ein Schwerpunkt der Kritik betrifft die Transparenz der Wahlabl?ufe, ein anderer die technische Sicherheit der Wahlger?te. Der vorliegende Beitrag fasst zusammen, was zur Absicherung von Wahlger?ten auf der Grundlage der geltenden gesetzlichen Regelungen in Deutschland bisher getan worden ist und beleuchtet vor diesem Hintergrund die bekannten Hauptkritikpunkte. Heike Schrepf ist Diplom-Physikerin und seit Langem auf Softwareprüfungen in komplexen messtechnischen Systemen sowie Wahlger?ten spezialisiert. Sie geh?rt der akkreditierten Softwareprüfstelle der PTB an. Dr. Norbert Greif leitet in der Physikalisch-Technischen Bundesanstalt (PTB) die Arbeitsgruppe „Software und elektronische Wahlen“, die als Softwareprüfstelle akkreditiert ist. Er ist als Fachbegutachter im Auftrag von Akkreditierungsstellen t?tig. Prof. Dr. Dieter Richter ist Leiter des Fachbereiches „Metrologische Informationstechnik“ in der PTB, zu dem auch der Arbeitsbereich der elektronischen Wahlen geh?rt. Er nimmt viele beratende T?tigkeiten wahr.     

Ein Requirements-Engineering-Referenzmodell

Zusammenfassung Requirements-Engineering zielt auf die systematische Erhebung der Anforderungen für ein zu entwickelndes Produkt oder System auf Basis genereller Gesch?ftsziele und Vorgaben ab. Angestrebt werden dokumentierte Anforderungen an Produkte oder Systeme, die optimal nutzbar und vermarktbar sind und in jeder Hinsicht m?glichst gut den Erwartungen aller Beteiligten entsprechen. Bedingt durch den hohen Innovationsgrad bei Software oder Produkten mit hohem Softwareanteil und den steigenden Ansprüchen in Hinblick auf Funktionalit?t kommt dem Requirements-Engineering eine Schlüsselstellung im Software und Systems Engineering zu. Vor diesem Hintergrund hat die Technische Universit?t München und Siemens Corporate Research in Princeton, USA, ein Requirements-Engineering–Referenzmodell (REM) entwickelt, das Struktur und Inhalte der Ergebnisse (,,Artefakte“) des Requirements-Engineering vorgibt. Es ist durch ,,Tailoring“ auf unterschiedliche Anwendungsdom?nen und Dokumentenvorgaben zuschneidbar. Es unterstützt iterative Prozesse und eine modellbasierte Entwicklung. Der Ansatz REM wurde bereits erfolgreich zur Analyse und Bewertung durchgeführter Entwicklungsprozesse eingesetzt. Hierzu wurden die im untersuchten Projekt erstellten Spezifikationsdokumente (beispielsweise Vision- & Scope-Dokument, Lasten- und Pflichtenhefte, Architekturdokumente, usw.) hinsichtlich der im Artefaktmodell festgelegten Inhalte und Beziehungen analysiert und bewertet. Gemeinsam mit der entsprechenden Untersuchung des eingesetzten Requirements-Management-Werkzeugkonzepts k?nnen hieraus Aussagen zur Vollst?ndigkeit und Qualit?t der betrachteten Spezifikationsdokumente und ihres Erarbeitungsprozesses gefolgert werden.     

Datenschutzrecht in der Ukraine

Seit dem 1. Januar 2011 werden personenbezogene Daten in der Ukraine unter einen umfassenderen rechtlichen Schutz gestellt. Das „Gesetz zum Schutz personenbezogener Daten“ wurde im Juni 2010 vom ukrainischen Parlament verabschiedet und trat am 1. Januar 2011 in Kraft. Der nachfolgende Beitrag gibt einen überblick über die früheren fragmentarischen Regelungen im Recht des Datenschutzes und analysiert die derzeit geltende Ausgestaltung des ukrainischen Datenschutzrechts. Hierbei soll die von der Ukraine vorangetriebene Angleichung des nationalen Rechts an Unionsrecht, insbesondere im Hinblick auf die Vorgaben der Datenschutzrichtlinie 95/46/EG, n?her beleuchtet werden.     

Zertifikat für Datenschutz-Management

Neben der Versch?rfung der gesetzlichen Vorgaben und einer Erh?hung der Bu?gelder wird seit Jahren ein Gütesiegel für Datenschutz gefordert, um dem nach wie vor bestehenden Umsetzungsdefizit entgegenzuwirken. Der vorliegende Beitrag schl?gt ein Auditierungsverfahren vor, das auf die Zertifizierung eines „vorbildlichen“ Datenschutz- Managements zielt.