Es muss nicht immer ein Virenscanner sein

Seit KRITIS-II und NIS-II das Bewusstsein der Entscheider erreicht haben, wird vermehrt auf die Informatiossicherheit, vor allem aber auf die Cybersecurity, geachtet. Die Absicht des Gesetzgebers scheint erreicht. Die strukturkritischen Informationssyteme genießen eine besondere Aufmerksamkeit. In Zeiten der Industrie 4.0 und der fortschreitenden Digitalisierung aller Lebensbereiche ist dieser Schritt unumgänglich.

Die digitale Erpressung mit Hilfe von Ransomware verursacht hohe Schäden sowohl in Privatunternehmen als auch bei staatlichen Einrichtungen. Backups wie z.B. unser Secure online B@ckup sind Vorsorgemaßnahmen mit dem Ziel der Schadensbegrenzung. Doch ein Backup ist nicht das einzige Mittel des Schutzes der IT. Daneben gibt es viele akute und präventive Maßnahmen, die den Verlust oder Leak von Daten begrenzen sollen. Dazu zählt man die Härtung der Systeme (Updates, Firewall, Verzicht auf nicht benötigte Software und Dienste) und die Detektion von Anomalien (Deep Package Inspection in Routern und Firewalls, regelmäßige Netzwerk-Scans und Überwachung auf Virenbefall). Jedes davon begegnet einem bestimmten Risiko, welches in der Schutzziel-Analyse erkannt wurde. Eine solche ist in den meisten Informatonssicherheitsmanagementsystemen (ISMS) enthalten und soll die allgemein gehaltene Anforderung in messbare (vgl. ISO 27001, Punkt 9.1), logisch zusammenhängende Einheiten herunter brechen. (Eine nützliche Liste für eine Analyse und den Umgang mit Risiken bietet BSI-Standard 2003.) Die Maßnahmen müssen dem Risiko angemessen sein. Jedoch welche es sein sollen, muss genau abgewogen werden.

(mehr …)

ISO 27001, Notfallmanagement, KRITIS, Cyberwar – IT-Resilienz und Datenbanken

Nicht erst mit der Richtlinie 2016/1148 des EU-Parlaments und des EU-Rates (sog. „NIS-Richtlinie“) wurde professionelles Notfallmanagement in Organisationen und Unternehmen mit Versorgungsauftrag etabliert. Sowohl das altbekannte ITIL als auch BSI-Standard 100-4 von 2008 haben konkrete Wege und mögliche Vorgehensweisen im Umgang mit kritischen Störfällen im IT-Betrieb aufgezeigt. Doch erst mit dem Inkrafttreten der ersten KRITIS-Verordnung am 3. Mai 2016 (BSI-KritisV) wurden Notfallvorsorge, Planung von Notfallmaßnahmen und Meldung solcher Vorfälle an BSI oder die Bundesnetzagentur Pflicht. Seit der Aktualisierung der BSI-KritisV (in Kraft seit 1.1.2022) – die fortwährend evaluiert und erneuert werden soll – kamen weitere umfangreiche Pflichten auf die Kritischen Infrastrukturen (kurz „KRITIS“ genannt) zu, darunter die Angriffserkennung. In eben dieser Verordnung wird auch eindeutig festgeschrieben, wer unter Kritische Infrastrukturen fällt und welche Teile des Betriebes und ab welchem Schwellenwert welcher Aufsichtsbehörde zu berichten verpflichtet sind.

(mehr …)

Read more about the article log4j / CVE-2021-44228
Foto: Fernschreiber der Swissair (Public Domain)

log4j / CVE-2021-44228

Oracle hat am Wochenende seinen Kunden eine E-Mail mit dem Hinweis auf die Schwachstelle in log4j verschickt: Oracle Security Alert for CVE-2021-44228 . Bisher ist jedoch kein Sicherheitspatch veröffentlicht und es mangelt an detaillierten Informationen zu dem Fehler in der Funktionsbibliothek bzw. im Überfluss an Informationen fehlt es an den relevanten Punkten. Aus diesem Anlass stellen wir eine vorläufige Zusammenfassung der Erkenntnisse im Bezug auf die von uns unterstützten Produkte bereit. Wir können jedoch keine Garantie für die Aussagen übernehmen, da die Grundlagen unserer Recherche ebenfalls einem Wandel unterliegen.

(mehr …)

Neu: PostgreSQL All-in-one-Appliance

Der Open-Souce-Herausforderer der kommerziellen Datenbanken der Enterprise-Klasse setzt seinen Siegeszug fort. Das bewährte System kann im Single-Master-Setup durch seinen Funktionsumfang mit den Großen mithalten. So wundert es nicht, dass immer mehr KMUs durch den Einsatz dieser Datenbank Lizenzkosten sparen. Mit unserer Appliance PostgreSQL SUPERIOR wird das Rollout noch einfacher und der Betrieb noch sicherer.

(mehr …)

DOAG-Regionaltreffen bei eXirius in Eppelborn – PostgreSQL

Am 28. November referiert Datenbank-Spezialist Frank Gard (eXirius GmbH) im Rahmen des DOAG-Regionaltreffens über das lizenzkostenfreie Datenbank-Management-System PostgreSQL. Regionaltreffen Trier/Saar/Luxemburg in Eppelborn Alle Interessierten sind herzlich eingeladen - die Teilnahme ist kostenfrei. Jenseits des Tellerrandes - PostgreSQL | Frank Gard28. November 2019 | ab 17:45 UhreXirius GmbH | Eppelborn zum Event

PostgreSQL – flexibel, leistungsstark und kosteneffizient

Release von PostgreSQL 11 im Oktober 2018: Übersicht der wichtigsten Änderungen PostgreSQL ist das fortschrittlichste objektrelationale Datenbankmanagement-System im Open-Source-Bereich. Es ist leistungsstark und stellt eine vollwertige Alternative zu Oracle, Microsoft und Co. dar. Ein Vorteil von PostgreSQL ist, dass im Gegensatz zu kommerziellen Lösungen keine Lizenzkosten entstehen und sich dahingehend auch nicht die Frage stellt: Welche ist die passende Lizenz? Nutze ich bzw. brauche ich den Lizenzumfang überhaupt? PostgreSQL bietet hier eine gute Alternative, um die Kosten zu senken und den Einsatz- und Nutzengrad zu erhöhen. Wichtige Änderungen bei Release 10 (Oktober 2017) Implementierung logischer Replikation, beruhend auf dem Publish-/Subscribe-Design-Pattern. Mögliche Anwendungsszenarien dafür sind: Replikation über Versions- und ggf. sogar RDBMS-Grenzen hinweg Selektive Replikation (bei physischer Replikation wird stets der ganze PostgreSQL-Cluster repliziert) Parallelbetrieb mehrerer Systeme Signifikante Verbesserungen bezüglich Parallelisierung von Abfragen und dadurch z.Tl. erhebliche Performancegewinne Einführung einer deklarativen Tabellenpartitionierung (mit DDL-Befehlen) Wichtige Änderungen bei Release 11 (Oktober 2018)…

Erfolgreiche Migration von Oracle nach PostgreSQL bei der Stadtwerke Frankenthal GmbH

Bei der Stadtwerke Frankenthal GmbH hat Frank Gard, Datenbank-Experte von eXirius, eine PostgreSQL Appliance-Lösung eingeführt, die das bestehende Oracle-System ablöst. Der Umstieg hat nicht nur den Vorteil Oracle-Lizenzkosten einzusparen, sondern bietet auch die Möglichkeit, die Systeme vollständig zu virtualisieren. Mit der „BASIC plus“-Variante hat sich die Stadtwerke Frankenthal GmbH für einen Datenbank-Server mit entferntem Backup-System entschieden. Alles ist für zwei virtuelle Maschinen unter VMware konzipiert und installiert. Dadurch konnte Hardware konsolidiert werden. Nur noch wenige Systeme benötigen Oracle. Zum Beispiel die eingesetzte Software zur Konvertierung der Katasterdaten (ALKIS) in ein GISmobil-kompatibles Format ist mit Hilfe der kostenfreien Express-Edition (XE) von Oracle nutzbar. Um die konvertierten Daten in der GISmobil-Software verfügbar zu haben, wird mit PostgreSQLs SQL/MED-Technik (als FDW, "Foreign Data Wrapper", bekannt) ein Live-Zugriff auf die Oracle-Datenbank hergestellt. Dieser Datenkanal wird für eine permanente Schnittstelle von Oracle XE nach PostgreSQL verwendet. Diese Schnittstelle wurde von eXirius in Kooperation mit dem Softwarehersteller von…