Bücher

[Coverscan: Mehrseitige Sicherheit in offenen Netzen]

Andreas Pfitzmann, Alexander Schill, Andreas Westfeld und Gritta Wolf, Mehrseitige Sicherheit in offenen Netzen, Grundlagen, praktische Umsetzung und in Java implementierte Demonstrations-Software, 250 Seiten mit CD-ROM, 68 DM, Vieweg, Braunschweig/Wiesbaden 2000, ISBN 3-528-05735-1

Das Konzept der mehrseitigen Sicherheit versucht, von einer bei Sicherheitsbetrachtungen häufig zugrunde gelegten idealisierten und "konfliktfreien" Client/Server-Welt zu einem realitätsnäheren Modell zu gelangen. Darin werden alle Kommunikationsteilnehmer als selbstständig betrachtet und man akzeptiert deren eigene Sicherheitsanforderungen und -mechanismen, die einander durchaus auch widersprechen können. Um die verschiedenen Anforderungen anzugleichen und im Endeffekt möglichst viele Ziele zu berücksichtigen, hat das Projekt SSONET (Sicherheit und Schutz in offenen Datennetzen) unter anderem Aushandlungsprotokolle entwickelt und implementiert: "Dabei wurde besonderer Wert auf Datensparsamkeit und eine faire Gestaltung der Aushandlung gelegt." Weitere Randbedingungen waren Plattformunabhängigkeit, Modularität und die Unabhängigkeit von festgelegten Sicherheitsmechanismen-Implementierungen. Die konzeptionellen Ansätze wurden zudem als prototypische Anwendung in Java realisiert. Die gesamte Systemlösung ist als wesentlicher Teil der Projektergebnisse für Forschung und Lehre frei verfügbar und auf einer dem Buch beiliegenden CD-ROM enthalten (inkl. Quelltexten).

Das Buch beschreibt ausführlich die SSONET-Erkenntnisse inklusive einem kurzen Ausblick auf andere Initiativen und "weiteren Ansätzen" (z. B. CORBA, SecuDE, IPv6/IPSec, CDSA, TLS, ...). Die Autoren wenden sich an alle Sicherheitsinteressierten, besonders an Gestalter von Sicherheitsinfrastrukturen, Entwickler verteilter Anwendungen, Leser aus der Middleware- und Java-Community, aber auch an Gestalter von Benutzerschnittstellen, die sich Sicherheitsaspekten widmen wollen. Zur persönlichen "Lernzielkontrolle" und Vertiefung der Erkenntnisse folgen jedem Kapitel theoretische und praktische Aufgaben.

Internet – die Sicherheitsfragen

Christian Reiser, Internet – die Sicherheitsfragen, Antworten für Manager und Techniker, 2. aktualisierte Auflage, 240 Seiten, 88 DM, Ueberreuter, Wien/Frankfurt 2000, ISBN 3-7064-0712-4

Der Autor Christian Reiser spricht in seinem Buch fast alle Sicherheitsfragen im Zusammenhang mit dem Internet an. Wer den Untertitel "Antworten für ..." wörtlich nimmt, könnte jedoch enttäuscht werden: Das Buch gibt einen guten Überblick über die relevanten Sicherheitsthemen, jedoch ohne diese erschöpfend zu behandeln. So wurde dem Thema "Mobile Computing" beispielsweise nur eine einzige Seite zugebilligt, Desktop Firewalls werden überhaupt nicht erwähnt. Zudem neigt der Autor bisweilen zum Pragmatismus. Zu JavaScript-Filtern resümiert er beispielsweise: "Java-Script wird schon auf vielen Web-Seiten verwendet. Man wird derzeit keine andere Möglichkeit haben, als sie zu erlauben." Die Ausführungen zur Rechtslage drohen im Übrigen heutzutage bereits mit dem Erscheinen eines Buches zu veralten.

SAP-Handbuch Sicherheit und Prüfung

Uwe Bernd-Striebeck, Thomas Glauch, Georg Hohnhorst, Johannes Kumpf und Reiner Stein, SAP-Handbuch Sicherheit und Prüfung, Praxisorientierter Revisionsleitfaden für R/3-Systeme, 2. Auflage, 542 Seiten, 188 DM, IDW-Verlag, Düsseldorf 2000, ISBN 3-8021-0887-6

Dieses Handbuch soll die Prüfbarkeit der Ordnungsmäßigkeit und Sicherheit von SAP-Anwendungen unterstützen. Die Autoren sind DV-Prüfer und Berater und berichten aus ihrer Praxis. Behandelt werden die Komponenten Basissystem, das übergreifende Berechtigungskonzept, Finanz- und Anlagenbuchhaltung, Materialwirtschaft, Personalwirtschaft, das Audit Information System, Datenarchivierung sowie die Euro-Umsetzung. Es stellt damit eine Erweiterung der SAP-Prüfleitfäden dar, an denen die Autoren mitgewirkt haben. Sie erklären ausführlich die Funktionen der einzelnen Komponenten und weisen auf Risiken und Revisionsanforderungen hin. Dazu sind jeweils die betreffenden Tabellen, Reports, Parameter, Berechtigungsobjekte, Transaktionen oder Bildschirmmasken angeführt. Zahlreiche Checklisten fassen den Stoff jedes Kapitels für Prüfungen zusammen. Weitergehende Hinweise werden auf OSS-Meldungen oder auf SAP-Literatur gegeben.

Das Buch wendet sich vorwiegend an den SAP-kundigen IT-Revisor und Wirtschaftsprüfer, der SAP-Systeme prüfen will, aber auch an SAP-Administratoren, IT-Sicherheitsbeauftragte und Berater, die das SAP-System besser verstehen wollen. Es stellt eine gute Zusammenfassung der relevanten Prüfungsbereiche im SAP-System dar, ergänzt durch ein ausführliches Stichwortverzeichnis. Es bietet dem SAP-Kenner eine gute Quelle für seine Arbeit. Bei der Abstimmung zwischen den fünf Autoren wurden Redundanzen in Kauf genommen; so tauchen gleiche Themen wie Zugriffsschutz in verschiedenen Kapiteln auf. Eine gewisse Schwäche des Buches liegt in der Beschränkung auf den Releasestand 4.0, während die meisten Anwender bereits ein oder zwei Releasestände weiter sind. Die nächste Auflage dürfte daher bald zu erwarten sein.