Inhalte überspringen »
Alle Topthemen
Dienstag, 2. März 2010
Die Allerleimesse CeBIT - Kommentar
Folgt man der medialen Berichterstattung, könnte man glauben, die CeBIT sei immer noch ein wichtiger Termin für die IT-Branche. Auch lassen die Fernsehbilder von Staats- und Regierungschefs, die alljährlich die Hannoveraner Computermesse eröffnen, das Publikum glauben, es handele sich um ein Ereignis von wahrem Weltrang. Wohl nur die Frankfurter Buchmesse und …
Freitag, 26. Februar 2010
IT an der Schwelle einer neuen Ära?
Wir stehen an der Schwelle einer neuen Ära: der Ära der "Sozialen Innovation" des Business!
Mit dieser pointierten These beginnt Nigel Fenwick, Analyst bei Forrester, seinen jüngsten Blogeintrag "The New Era Of Social Innovation", in dem er erläutert, warum soziale Innovationsnetzwerke in Zukunft entscheidend für den Erfolg oder Misserfolg eines Produkts/Projekts sein …
Dienstag, 16. Februar 2010
In fünf Schritten zum Agilen Unternehmen
Wer kennt nicht folgendes Szenario: Zur Optimierung von Unternehmensprozessen werden externe Consultants ins Unternehmen geholt, die die existierenden Unternehmensstrukturen und Workflows analysieren und Maßnahmen zu deren Verbesserung vorschlagen. Die Maßnahmen werden kurzfristig umgesetzt, bis man wieder an neue Grenzen stößt - oder, was vielleicht noch häufiger anzutreffen ist, bis jeder doch …
Donnerstag, 11. Februar 2010
About Security #242: Schwachstellen-Suche: DoS verhindern
Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen:
Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern
oder abzuschwächen, zweitens muss man feststellen können, wenn
ein Angriff erfolgt, und drittens muss man Maßnahmen vorbereiten, die
im Falle eines Angriffs ergriffen werden können, um ihn zu beenden
oder abzuschwächen.
Angriffe vorab verhindern oder abschwächen
DoS-Angriffe …
Mittwoch, 10. Februar 2010
Patchday - Microsoft stopft 26 Schwachstellen
Am Februar-Patchday hat Microsoft wie
angekündigt
13 Security Bulletins (5 kritische, 7 wichtige, 1 moderates)
veröffentlicht,
mit denen insgesamt 26 Schwachstellen behoben werden. Nur eine davon, die
im Januar bekannt gewordene
Schwachstelle im #GP Trap Handler,
war zuvor öffentlich bekannt.
Außer den Security Bulletins wurde auch ein
Security Advisory
veröffentlicht, mit dem Workarounds …
Freitag, 5. Februar 2010
Warum sich Entwickler niemals auf eine Stelle als "Software-Architekt" bewerben sollten
Mr. Joe Hacker möchte vor allem eines: Hacken!
Nichts zu tun haben möchte Joe Hacker mit seinem gestressten, schlecht gelaunten Chef - also strebt er nicht nach einer Management-Position.
Nichts zu tun haben möchte Joe Hacker auch mit Krawatten, grauen Anzügen, langen Meetings, Investoren-Gesprächen - also wird Joe Hacker auch kein selbstständiges Unternehmen …
Mittwoch, 9. Dezember 2009
Patchday - Microsoft stopft 12 Schwachstellen, Adobe mindestens 7
Am Dezember-Patchday hat Microsoft wie
angekündigt
3 als kritisch und 3 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 12 Schwachstellen behoben werden, darunter die Ende
November veröffentlichte
0-Day-Schwachstelle
im Internet Explorer. Von den restlichen 11 Schwachstellen war nur eine
weitere vor der Veröffentlichung der Security Bulletins
öffentlich
bekannt, alle anderen wurden …
Donnerstag, 3. Dezember 2009
Entwickler am Abgrund: Hohe psychische Gefährdung in der IT-Branche
In der IT-Branche herrscht eine besonders hohe psychische Gesundheitsbelastung vor, die zu einer zunehmenden Anzahl von Burnout-Syndromen, Depressionen, Panikattacken bis hin zu Suiziden geführt hat. Zu diesem Ergebnis kommt eine Studie des Forschungsprojekts DIWA-IT vom Münchner Institut für Sozialwissenschaftliche Forschung (ISF). Demnach seien hochqualifizierte Angestellte in IT-Unternehmen einem System permanenter Bewährung …
Mittwoch, 25. November 2009
Top 100 der europäischen Softwareunternehmen
In der jährlich von Truffle Capital erstellten Rangliste europäischer Softwareunternehmen ("Truffle 100 Europe") steht SAP mit großem Abstand an erster Stelle. Für das Ranking wurde die Höhe der im Jahr 2008 erzielten Umsätze aus der Softwareproduktion herangezogen, wobei SAP mit 11,5 Milliarden Euro vor den britischen Sage (1,36 Milliarden Euro) und …
Donnerstag, 19. November 2009
About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
Außer den in About Security
#230
beschriebenen Implementierungsfehlern in mehrstufigen
Authentifizierungssystemen gibt es weitere.
Falsche Frage
Um einmal z.B. über Phishing ausgespähte Zugangsdaten für
den Angreifer wertlos zu machen, erfordern manche mehrstufigen
Authentifizierungssysteme nach der Eingabe von Benutzername und Passwort
z.B. die Beantwortung einer von mehreren geheimen Fragen oder die Eingabe
bestimmter Zeichen …
Donnerstag, 12. November 2009
About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
Auch ein gut entworfenes, theoretisch absolut sicheres
Authentifizierungssystem kann durch Implementierungsfehler unsicher werden.
Das können z.B. Informationslecks sein, eine Möglichkeit zum
direkten Umgehen des Authentifizierungssystems oder eine allgemeine
Schwächung des Systems.
Implementierungsfehler sind schwieriger zu finden als Designfehler wie ein
fehlender Schutz vor Brute-Force-Angriffen oder unsichere Regeln für
Passwörter. Daher ist eine allgemeine Beschreibung schwierig, …
Mittwoch, 11. November 2009
Patchday - Microsoft stopft 15 Schwachstellen, davon 8 in Excel
Am November-Patchday hat Microsoft wie
angekündigt
3 als kritisch und 3 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 15 Schwachstellen behoben werden, davon allein 8 in
Excel. Alle Schwachstellen wurden Microsoft vertraulich gemeldet,
lediglich eine davon wurde danach noch anderweitig veröffentlicht.
Die kritischen Bulletins
MS09-063 - …
Donnerstag, 5. November 2009
About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
Wie werden Zugangsdaten sicher übertragen? Für die Richtung vom
Benutzer zur Webanwendung nimmt man dafür SSL/TLS - aber was ist mit
der Übertragung der von der Webanwendung während der
Registrierung erzeugten Daten? Die müssen an den Benutzer
übermittelt werden, und das, ohne dass Unbefugte sie dabei zu sehen
bekommen.
In einem Intranet ist die sichere …
Donnerstag, 29. Oktober 2009
About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
Manche Webanwendungen erzeugen bei der Registrierung vorhersagbare
Benutzernamen und/oder Passwörter. Während die Gefahr eines
vorhersagbaren Passworts offensichtlich ist, ist ein vorhersagbarer
Benutzername zumindest auf den ersten Blick nicht gefährlich. Aber das
ist zumindest zum Teil ein Irrtum.
Vorhersagbare Benutzernamen
Manche Webanwendungen, bei denen die Benutzer ihren Benutzernamen nicht
selbst auswählen können, erzeugen …
Mittwoch, 28. Oktober 2009
SOA-Manifesto veröffentlicht
Am Freitag, den 23.10.2009 wurde in Rotterdam von einem internationalen Gremium aus 17 renommierten Experten der SOA-Community das SOA-Manifesto verabschiedet.
Das SOA-Manifesto ist nun unter www.soa-manifesto.org verfügbar und richtet sich an alle, die am Thema SOA interessiert sind. Absicht des Manifests und seiner Autoren ist es, auf Basis der Erfahrungen aus …
Donnerstag, 22. Oktober 2009
About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
Wie jedem klar sein dürfte und es auch schon in About Security
#226
beschrieben wurde, können mehrfach vergebene Benutzernamen zu
unerwarteten Reaktionen der Webanwendung führen. Darum müssen
Webanwendungen (sowie alle anderen Programme und Systeme, die Benutzernamen
verwenden) bei der Registrierung gewählte Benutzernamen daraufhin
prüfen, ob sie schon vorhanden sind oder nicht. Außer dem Fall
der absichtlich …
Donnerstag, 15. Oktober 2009
About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
Schwachstellen im Bereich der Authentifizierung müssen nicht
automatisch sofort dazu führen, dass ein Angreifer sich ohne
Zugangsdaten zu kennen, anmelden kann. Viele Schwachstellen erleichtern
"nur" andere Angriffe, sollten aber trotzdem nicht auf die leichte Schulter
genommen werden. Wie z.B. die unvollständige Prüfung der
Zugangsdaten.
Gute Passwörter
Gute Passwörter sind mindestens 8 Zeichen lang, …
Mittwoch, 14. Oktober 2009
Patchday - Microsoft stopft 33 Schwachstellen, Adobe 29
Am Oktober-Patchday hat Microsoft wie
angekündigt
8 als kritisch und 5 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 33 Schwachstellen behoben werden. Ursprünglich waren
34 Schwachstellen angekündigt worden, eine wurde jedoch doppelt gezählt,
da sie in zwei Security Bulletins vorkommt. Trotzdem ist dieser Patchday
einsame Spitze: Mehr Security Bulletins …
Donnerstag, 8. Oktober 2009
About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
Manche Webanwendungen stellen privilegierten Benutzern eine "User
Impersonation"-Funktion zur Verfügung, mit der sie die Identität
eines anderen Benutzers annehmen können, um dann Aktionen in dessen
Benutzerkontext auszuführen. Das kann z.B beim Nachvollziehen der
Benutzeraktionen durch den Helpdesk oder bei der Untersuchung aufgetretener
Probleme durch den Administrator hilfreich sein, kann aber, wenn die
Funktion ungeschickt implementiert ist oder …
Mittwoch, 7. Oktober 2009
Windows Mobile 6.5: Chance verpasst?!
Kaum hat Microsoft die neueste Version seines Handy-Betriebsystems veröffentlicht, hagelt es von allen Seiten Kritik. Windows Mobile 6.5, eine Interimsversion auf dem Weg zu Windows Mobile 7, sei nur oberflächlich verbessert worden und hinke der Konkurrenz weit hinterher, heißt es. Selbst Microsoft-Chef Steve Ballmer soll gesagt haben, er wäre mit Windows …