Angesichts der wachsenden IT-Durchdringung der heutigen Geschäftswelt ist die Öffnung gegenüber Externen beinahe schon Normalität. Kunden, Partner und Mitarbeiter erwarten, dass sie jederzeit und überall auf wichtige Anwendungen, Informationen und Services zugreifen können. Die Öffnung nach außen zieht zugleich erhebliche Sicherheits-, Management- und Compliance-Herausforderungen nach sich. Welche Gefahr in einem unautorisierten Zugriff oder im Erschleichen einer Identität lauern, lässt sich leicht ausmalen. weiter

Die eindeutige Authentisierung eines Gerätes und/oder Users ist ein wichtiger Teil der Access Control, denn sie bilden die Grundlage fürs Policy Enforcement. Bevor wir und der Durchsetzung von Richtlinien in der Praxis widmen, betrachten wir in diesem Beitrag die verschiedenen Authentisierungsmechanismen am Beispiel der Security-Lösungen von Enterasys. weiter

Es ist noch gar nicht so lange her, da wurde Identitätsföderation noch als Hype-Thema gehandelt. Nun scheint es um Identity Federation still geworden zu sein – doch in diesem Fall ist das ein gutes Zeichen: Federation wird angesichts der zunehmenden Kooperation von Unternehmen immer intensiver genutzt. weiter

In der nächsten Ausarbeitung von PCI DSS (Payment Card Industry Data Security Standard) sollen unter anderem Secure Coding und Key Management thematisiert werden. In einer ersten Zusammenfassung geht das PCI Security Standards Council von insgesamt neun Änderungen am bestehenden Regelwerk aus. weiter

Die Verwaltung der Anwender, ihrer Rollen und Berechtigungen über alle IT-Systeme und Verzeichnisdienste hinweg ist eine komplexe Aufgabe. Dieser Beitrag widmet sich dem SAM Enterprise Identity Manager von Beta Systems, einer umfassenden Identity-Management-Suite. weiter

Mit einer neuen Generation der Active-Directory-Bridge-Technologie Quest Authentication Services 4.0 will Quest Software die Sicherheit und Compliance durch Auditing, Strong Authentication und eine zentrale Web-Management-Konsole erhöhen. weiter

Was IEEE 802.1x und unterstützende Authentisierungsmethoden leisten, haben wir bereits gelernt. In diesem Beitrag wird anhand der N-Serie von Enterasys beleuchtet, wie man mit Geräten ohne Authentisierungsfeatures umgeht. Außerdem widmen wir uns der Priorisierung der verschiedenen Authentication-Mechanismen. weiter

IEEE 802.1x kann zur Authentisierung zahlreicher Netzwerk- und Endgeräte verwendet werden. Für eine umfassende Zugriffskontrolle müssen aber auch jene Systeme erkannt werden, die diesen Standard nicht unterstützen. Hier empfehlen sich je nach Art und Standort der Hardware verschiedene Methoden, die wir hier genauer erläutern. weiter

Im Rahmen der European Identity Conference 2010 (EIC) für Identity und Access Management (IAM) und GRC (Governance, Risk Management, Compliance) hat die Analystengruppe Kuppinger Cole den European Identity Award 2010 in sechs Kategorien vergeben. Mit dem Award werden herausragende Projekte, Innovationen und Weiterentwicklungen von Standards honoriert. Preisträger sind unter anderem IBM, Microsoft, BMW und das Bundesministerium des Inneren (BMI). weiter

Wer sich im Internet ausweisen möchte, der kann ab Montag, 1. November 2010, den neuen Personalausweis mit eID-Funktion (elektronischer Identitätsnachweis) beantragen. Während die staatliche Vergabestelle für entsprechende Anbieter-Berechtigungszertifikate jüngst ihre Arbeit aufgenommen hat, wird eine eID-Sperrfunktion noch umgesetzt. weiter

Benutzername und Passwort als Authentisierung sind nachweislich unsicher. Angriffe auf IT-Systeme durch Ausspähen, Keylogger, Brute-Force Attacken oder auch das Mitsniffen von Passwörtern sind nicht ungewöhnlich, um unauthorisierten Zugang zu Systemen zu erhalten. LSE LinOTP 2 Enterprise ist jetzt eine Lösung, die Sicherheit vor Angriffen dieser Art bietet und neue Maßstäbe im Business-Umfeld von Open Source-Lösungen für Identitätsmanagement und starke Authentisierung setzt. weiter

Vasco, führender Anbieter von Sicherheits-Lösungen und Spezialist für Authentifizierung, hat eine neue Version seines aXsGuard Identifier vorgestellt. Diese Authentifizierungs-Appliance nutzt nun in vollem Umfang die Identikey Server-Technologie von Vasco und beinhaltet auch Digipass Authentication for Windows Logon, eine Lösung für den sicheren Zugriff auf Windows-Systeme. weiter

Der elektronische Personalausweis soll den sicheren Identitätsnachweis und die gegenseitige Authentifizierung für Anbieter und Nutzer von Online Services ermöglichen. Im Rahmen der vom Bundesministerium des Inneren veranlassten Anwendungstests haben mehrere Organisationen der Stadt Hagen eine virtuelle Testumgebung eingerichtet. weiter

Gefälschte Signaturen, Protokoll-Schwachstellen, manipulierbare Web-Anwendungen: Auf der RSA Conference 2010 hat ein Security-Experte seine Hitliste der Web-Hacking-Techniken 2009 vorgestellt. Die Top Ten der Internet-Gefahren führt eine MD5-Schwachstelle an, über die ein Hacker digitale Zertifikate im Namen einer fingierten Zertifizierungsstelle ausstellen kann. weiter

Es wird für Unternehmen immer schwerer, die über Jahre gewachsene Zahl an Schlüsseln und Zertifikaten zu verwalten. Oft müssen Spreadsheets herhalten um bspw. den Überblick über hunderte SSL-Zertifikate zu behalten. Gleichzeitig müssen Unternehmen aber auch die neuen Datenschutzgesetze sowie die diversen Compliance-Vorgaben einhalten. Die PGP Corporation stellt jetzt die neuste Version 3.0 ihres PGP Key Management Servers vor, die großen Unternehmen das zentrale Schlüssel- und Zertifikatsmanagement für die gesamte IT-Infrastruktur erlaubt. weiter

Internetnutzer stehen dem elektronischen Personalausweis unkritischer gegenüber, als die restlichen 30 Prozent der deutschen Bevölkerung. 14 Millionen Deutsche würden ihren alten Identitätsnachweis sogar noch vor dessen Ablauf gegen den neuen Ausweis tauschen. Dies hat eine Umfrage des Branchenverbands Bitkom ergeben. weiter

Die Shell Control Box von Balabit ist eine Appliance zur Kontrolle und Auditierung administrativer Zugriffe auf sensible IT-Systeme. In Version 3.0 gibt es die Appliance ab sofort mit Intel-Xeon-Prozessoren und bis zu 10 Terabyte Speicherplatz, oder als virtuelle Appliance für VMWare-ESX-Systeme. Die Shell Control Box beherrscht jetzt die Protokolle um VMWare View und bringt eine verbessterte Unterstützung von RDP, SCP und SFTP mit. weiter

Oracle bringt mit Oracle Identity Management 11g eine ganze Reihe neuer Identity-Management-Funktionen. Oracle Identity Management 11g setzt auf eine einheitliche, sichere und einfach zu implementierende Service-basierte Architektur, neue dynamische Benutzeroberflächen und Shared Services zur Verwaltung von Identitäten und Passwörtern. weiter

Mit dem Forefront Identity Manager (FIM) 2010 will Microsoft die Verwaltung der Benutzergruppen und ihrer Rechte zu einem gewissen Teil in die Hände der Anwender geben. Im Praxistest hat sich SearchSecurity.de die Management-Funktionen des neuen Microsoft-Security-Tools angesehen. weiter

Der Verwaltung der Benutzer und ihrer Rechte ist für das IT-Management eine zentrale Aufgabe. Wenn man dabei zu nachlässig vorgeht, beinträchtigt das die IT- und Datensicherheit. Der Forefront Identity Manager von Microsoft hilft mit neuen Gruppenmanagement-Funktionen dabei, die Benutzerrechte im Auge zu behalten. weiter

Mit dem Update auf Sticky Password 4.1 bietet Lamantine Software nun auch Mehrplatzlizenzen der verschlüsselten Passwortverwaltung an. Darüber hinaus hat der Hersteller nach eigenen Angaben die Update-Funktion der Passwort-Management-Lösung automatisiert und den Support verbessert. weiter

Login Daten von Webseiten und Mail Accounts sind bei Internet Explorer 7 und 8, sowie den Mail-Clients Windows Live Mail und Outlook Express verschlüsselt gespeichert und so eigentlich sicher vor Angriffen durch Passwort-Tools. Kryptographie-Experte Elcomsoft hat aber jetzt mit ihrem Tool Internet Password Breaker aber einen Weg gefunden, auch an solche Informationen heranzukommen. weiter

Die meisten Menschen ändern ihre Passwörter zu selten. Nur jeder Sechste ändert seine wichtigsten Zugangscodes für Online-Konten, E-Mail-Postfächer, Auktionsplattformen, PC oder Handy wenigstens einmal im Quartal. 41 Prozent der Bundesbürger verändern aus eigener Initiative niemals ihre Geheimzahlen und Passwörter. weiter

Das Ruckus-Wireless-Verfahren zur Vereinfachung der Konfiguration und Verwaltung sowie zur Erhöhung der Zuverlässigkeit und Sicherheit von drahtlosen Netzwerken hat vom United States Patent and Trademark Office (USPTO) ein Patent erhalten. Das neue Patent reiht sich damit ein in die fast zwei Dutzend Patenten, die Ruckus bereits hält. weiter