News und Produkte

Ordnungsmerkmale

erschienen in: <kes> 2007^#1, Seite 107

• Firmen, Finanzen & Fusionen

News und Produkte

VoIP braucht Verschlüsselung!

"Wir müssen Voice over IP verschlüsseln! Es wäre gefährlich und ein unerträglicher Zustand, das nicht zu tun!" PGP-Erfinder Phil Zimmermann sieht hier keinen Spielraum für Diskussionen. Neben allgemeinen Bedrohungen gegenüber IP-Diensten nennt er auch das organisierte Verbrechen als potenzielle Gefahr: "Sobald damit Geld zu machen ist, werden kriminelle Organisationen VoIP angreifen, wie sie heute andere Internetdienste angreifen." Ungesicherte Voice-over-IP-(VoIP)-Übertragungen würden letztlich Mafia und Industriespionen in die Hände spielen.

Der Knackpunkt bei der Sicherung von VoIP-Datenströmen liegt vor allem im Management der benötigten Krypto-Keys. Üblicherweise ist hierfür eine Public-Key-Infrastruktur (PKI) vorgesehen oder der Schlüsselaustausch findet im Rahmen des Signalisierungspfads über den Server des VoIP-Anbieters statt, was allerdings unbedingtes Vertrauen in den Provider und seine Infrastruktur erfordert. Um auch ohne "Trusted Third Party" auszukommen, hat Zimmermann eine Idee aus PGPfone wieder ausgegraben, das in den 90er-Jahren entwickelt wurde, aber – nicht zuletzt mangels Bandbreite – keine große Verbreitung fand: Das Verfahren nutzt grob gesagt, einen Diffie-Hellman-Schlüsselaustausch und eine gegenseitige Prüfung des (verkürzten) Key-Hashs durch die Anwender über den Sprach- oder Signalisierungskanal, um Man-in-the-Middle-Angriffe erkennbar zu machen.

Der ausgehandelte Session-Key dient dann zur Verschlüsselung des Datenstroms, der per Secure Real-Time Transport Protocol (SRTP, RFC 3711) zum Kommunikationspartner übermittelt wird – diese Erweiterung nennt Zimmermann ZRTP. Betaversionen eines Soft-Phones und ein SDK sind über  www.zfoneproject.com erhältlich (Registrierung erforderlich), das Verfahren ist als Draft bei der Internet Engineering Task Force (IETF) eingereicht (ZRTP: Extensions to RTP for Diffie-Hellman Key Agreement for SRTP, draft-zimmermann-avt-zrtp-02).

Den ersten kommerziellen Partner hat das Zfone Project mit Borderware gefunden – das Unternehmen hat ZRTP schon im August 2006 für seine VoIP-Security-Apppliance SIPassure lizenziert ( www.borderware.com). Peter Cox, CTO International von Borderware, betont: "ZRTP ist eine gute Ergänzung unserer Lösung. Und durch die Implementierung am Gateway steht das zusätzliche Verfahren unmittelbar allen Endgeräten im Unternehmen zur Verfügung, ohne dass diese es selbst unterstützen müssten." Die ZRTP-Key-Hashs könnte man zukünftig zur Kontrolle auch an bestimmte Telefone mit Display durchreichen.

Derzeit nimmt die Verbreitung von ZRTP in weitere Produkte Fahrt auf: Mitte Februar kam Counterpath ( www.counterpath.com) als zweiter Partner hinzu, der ZRTP in seinen VoIP-Softphones Eyebeam and X-Lite nutzen will. Eine Integration in die GPL-Software-Telefonanlage Asterisk soll bis Ende März abgeschlossen werden. Einige weitere Partnerschaften sind nach Firmenangaben bereits abgeschlossen und sollten bis zum Erscheinen dieser Ausgabe auf  www.zfoneproject.com/partners.html ergänzt worden sein. ( www.zfoneproject.com)

Betonen gemeinsam die Wichtigkeit von VoIP-Veschlüsselung: Peter Cox (Borderware, links) und Phil Zimmermann (Zfone/PGP, rechts)

SYSTEMS komprimiert

Die SYSTEMS wird dieses Jahr erstmals nur an vier statt wie bisher an fünf Tagen ihre Pforten öffnen. Sie beginnt daher nicht wie bislang angekündigt am Montag, sondern erst am Dienstag, dem 23. Oktober, und endet am Freitag, dem 26. Oktober 2007. Gleichzeitig will man zur gewohnten Hallenanordnung rund um den Haupteingang West der Neuen Messe München zurückkehren und im direkten Einzugsbereich dieses Eingangs fünf – statt früher sechs – Hallen in der A- und B-Spange belegen: A1 und A2 werden dann Software-Lösungen beherbergen, die Halle B1 das Kernsegment "Communications & Networking", B2 bündelt "Digital Office & Media" sowie "Systems & Integration" (Hardware, Infrastruktur, Services, Consulting, Distribution usw.). Die IT-SecurityArea (it-sa) wird im Oktober in Halle B3 zu finden sein. ( www.systems.de /  www.it-sa.de)

Pflichtangaben in Geschäfts-E-Mails

Das Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das Unternehmensregister (EHUG) hat in verschiedenen Gesetzen Änderungen bewirkt, die für Unternehmen teuer werden können: Es geht um die Verpflichtung von Gewerbetreibenden, auf ihren Geschäftsbriefen bestimmte Mindestangaben vorzusehen. So müssen beispielsweise alle Geschäftsbriefen eines Kaufmannes, die an einen bestimmten Empfänger gerichtet werden, folgende Informationen enthalten: seine Firma nebst Rechtsform (d. h. kennzeichnender Zusatz wie "oHG", "GmbH" usw.), der Ort der Handelsniederlassung, das Registergericht und die Nummer, unter der die Firma in das Handelsregister eingetragen ist (§ 37a HGB). Das GmbH-Gesetz fordert zudem die Angabe aller Geschäftsführer und (so vorhanden) des Vorsitzenden des Aufsichtsrats (§ 35a GmbHG).

Da diese Gesetze bislang lediglich von "Geschäftsbriefen" sprachen, war umstritten, ob hierzu auch E-Mails gehören. Der Gesetzgeber hat nun mit Wirkung vom 01. Januar 2007 zu Geschäftsbriefen ergänzt "gleichviel welcher Form". Hierdurch soll klargestellt werden, dass die Pflichtangaben bei allen Arten geschäftlicher Kommunikation, also auch bei E-Mails vorzunehmen sind. Zu Geschäftsbriefen zählen jetzt demnach jegliche von einem Unternehmen ausgehenden schriftlichen Mitteilungen, die an einen bestimmten Empfänger gerichtet sind, wobei es egal ist, ob es sich um die Aufnahme von Geschäftsbeziehungen handelt oder um laufende Geschäftsbeziehungen. Geschäftsbriefe sind daher nicht nur normale Briefe oder Telefaxe, sondern auch Postkarten, Rundschreiben, Angebote, Lieferscheine, Rechnungen, Kataloge und Preislisten, aber auch Kündigungsschreiben an einen Arbeitnehmer – und nunmehr auch unumstößlich E-Mails. Nicht zu den Geschäftsbriefen zählen hingegen Zeitschriftenanzeigen, bloße Werbung oder unternehmensinterne Mitteilungen, beispielsweise an die Gesellschafter.

Gerade in der Übergangszeit, bis alle Unternehmen ihre Geschäftskommunikation umgestellt und angepasst haben, droht eine Abmahnwelle durch hierauf spezialisierte Rechtsanwaltsbüros: Das Unterlassen der vollständigen Pflichtangaben ist ein Verstoß gegen gesetzlich zwingende Erfordernisse, was wiederum eine Wettbewerbswidrigkeit begründen und somit auch durchaus eine wettbewerbsrechtliche Abmahnung nach sich ziehen kann. Da eine solche Abmahnung meistens mit der Abgabe einer strafbewährten Unterlassungsverpflichtungserklärung verbunden ist und der Abmahnende die Kosten der Inanspruchnahme seiner Rechtsanwälte als Schadenersatz auf das andere Unternehmen abwälzen kann, können durchaus hohe Kosten entstehen.

Erhält man eine Abmahnung zugestellt, so sollte man übrigens nie untätig bleiben: Folgt nämlich eine einstweilige Verfügung, so kann dies die Kosten (mitsamt Abschlusserklärung) schnell verdreifachen. Dies ist leider gängige Praxis. Deshalb sollte man bei einer Abmahnung immer schnell reagieren und im Zweifel anwaltliche Hilfe einholen. Die Wirkung einer strafbewehrten Unterlassungsverpflichtungserklärung ist sehr weitreichend und in die Zukunft gerichtet, sodass die Fassung der Unterlassungsverpflichtungserklärung unbedingt rechtlich exakt geprüft werden sollte!

Merkblätter und nähere Infos zu den Pflichtangaben sind mittlerweile von den Internet-Seiten vieler Handelskammern abrufbar, beispielsweise über  www.hannover.ihk.de/themen/rechtsinformationen/handels-und-gesellschaftsrecht/angaben-auf-geschaeftsbriefen/). (Rechtsanwalt Stefan Jaeger, jaeger@simon-law.de)

Schutzprofil für Videoüberwachung

Angesichts zunehmender Videoüberwachung stellt sich die Frage, wie dabei der Datenschutz gewahrt werden kann. Einen Beitrag hierzu liefert das Schutzprofil für "Software zur Verarbeitung von personenbezogenen Bilddaten", das im Auftrag des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Peter Schaar unter Mitwirkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt wurde. Das auf den Common Criteria basierende Schutzprofil (Protection Profile – PP) definiert notwendige Sicherheitsfunktionen bei Aufzeichnungssystemen und fasst diese in einem evaluationsfähigen Anforderungskatalog zusammen. Es handelt sich dabei um die Mindestanforderungen, die nach den Datenschutzvorschriften vorhanden sein müssen. Ferner kann der Katalog daher zur Revision und Prüfung verwendet werden, ob eine Installation datenschutzgerecht vorgenommen wurde. Das Schutzprofil steht unter  www.bfdi.bund.de/nn_531952/SharedDocs/Publikationen/Arbeitshilfen/Schutzprofil.html zum Abruf bereit. ( www.bfdi.bund.de)

Universelles Phishing-Kit entdeckt

Nach "Viren-Generatoren" gibt es jetzt auch einen vergleichbaren Bausatz, der Online-Kriminellen bei der Ausführung von höher entwickelten und automatisierten Phishing-Angriffen hilft. Nach Erkenntnissen des Anti-Fraud Command Center (AFCC) von RSA wird dieses Phishing-Kit bereits von Betrügern im Internet genutzt und gehandelt. Das "universell" einsetzbare Werkzeug ermöglicht Man-in-the-Middle-Attacken: Betroffene Opfer kommunizieren zwar mit einer legitimen Website (z. B. ihrer Bank), werden jedoch über eine gefälschte URL geleitet, die unter der Kontrolle des Angreifers steht. Dessen Server kommuniziert mit der echten Website des angegriffenen Unternehmens in Echtzeit und ist in der Lage, jegliche eingegebenen Informationen abzufangen und zu modifizieren. Durch das Phishing-Kit wird diese Art des Online-Angriffs nunmehr erheblich einfacher und vermutlich verbreitet auftauchen, zumal ein Krimineller, der das bewusste universelle Kit erwirbt, nicht für jede einzelne Aktion einen spezialisierten Angriff programmieren (lassen) muss. Zur Analyse stand dem AFCC nach eigenen Angaben eine kostenlose Demo-Version aus einem Online-Forum zur Verfügung. ( www.rsa.com)

Firmen, Finanzen und Fusionen

• Defense AG gehört jetzt COC: Der IT-Security-Dienstleister ist künftig eine hundertprozentige Tochter der COC Holding in Burghausen, die alle Anteile des Unternehmens von den bisherigen Aktionären übernommen hat. Wie die anderen Unternehmen der COC-Gruppe wird auch die Defense AG eigenständig und unter ihrem etablierten Namen operieren. Defense-Gründer Peter Dölling wird nach Firmenangaben auch weiterhin als Vorstand agieren. ( www.defense-ag.de /  www.coc-ag.de)
• "Deutschland sicher im Netz" stellt sich neu auf: Zehn große Organisationen und Unternehmen haben sich zusammengeschlossen und Ende 2006 einen Trägerverein gegründet. Gründungsmitglieder sind BITKOM, Ebay Deutschland, das Deutsche Kinderhilfswerk, die Deutsche Telekom, der Verband der Internetwirtschaft (eco), die Freiwillige Selbstkontrolle Multimedia-Diensteanbieter (FSM), die Mcert Deutsche Gesellschaft für IT-Sicherheit, Microsoft Deutschland, SAP, Teletrust und Utimaco. Der jetzige Verein geht aus der Initiative "Deutschland sicher im Netz" hervor, die seit Januar 2005 aktiv war. ( www.sicher-im-netz.de)
• Das European Thin Client Forum (ETCF) geht im BITKOM auf: Der Kompetenzbereich IT-Infrastruktur des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) wird somit künftig durch einen Arbeitskreis Thin Clients & Server Based Computing ergänzt. ( www.etcf.com /  www.bitkom.org)
• Funkwerk übernimmt VarySys: Die bisherigen PacketAlarm-Unified-Threat-Management-Produkte sollen als Funkwerk UTM von der Funkwerk Enterprise Communications GmbH (FEC) vermarktet werden. Die IDS- und IPS-Produktlinien vertreibt künftig die in Funkwerk IP-Appliances GmbH umbenannte bisherige Varysys. ( www.funkwerk-ec.com /  www.varysys.de)
• Joint Venture von Giesecke & Devrient und Nokia: Das global agierende Gemeinschaftsunternehmen mit dem Namen Venyon soll künftig Mobilfunkbetreibern, Transportunternehmen, Einzelhändlern, Banken, Kreditkartenorganisationen und Lieferanten digitaler Services und Medien ermöglichen, ihre Dienste und Anwendungen auf Near-Field-Communication-(NFC)-fähigen Mobilgeräten anzubieten. Mit den Venyon-Services für sicheres Chip-Management können nach Anbieterangaben Endkunden-Anwendungen wie Kreditkartenfunktion oder Tickets sicher und einfach über das Mobilfunknetz auf diese Geräte geladen werden. Die Venyon-Firmenzentrale ist Helsinki, darüber hinaus besteht bereits eine Niederlassung in München. ( www.gi-de.de /  www.nokia.de)
• Iron Mountain übernimmt GbD: Mit der Akquisition der Lufthansa-Systems-Tochter Gesellschaft für beleglose Dokumentenbearbeitung mbH (GbD) reagiere man auf die steigende Nachfrage nach Lösungen zum Scannen von Geschäftsunterlagen und Firmenakten, um Lagerkosten zu sparen und die Recherche und Bearbeitung der Dokumente zu erleichtern. GbD ist nach Firmenangaben spezialisiert auf das Scannen, Bearbeiten und anschließende Archivieren digitalisierter Unterlagen; das Kerngeschäft des Hamburger Hauses sei bislang die Digitalisierung von Flugcoupons. ( www.ironmountain.de /  www.gbd.de)
• Kaspersky Lab eröffnet Geschäftsbereich InfoWatch im deutschsprachigen Raum: Die Repräsentanz wird als Geschäftsbereich der deutschen Kaspersky-Lab-Niederlassung in Ingolstadt eröffnet und nimmt Aufgaben wie Geschäftsentwicklung, Consulting sowie Vertrieb der Lösungen in Deutschland, Österreich und der Schweiz wahr. Zum Geschäftsführer wurde Andreas Lamm ernannt, der diese Funktion auch für Kaspersky Lab DACH und Nordic erfüllt. Die Produkte von InfoWatch sollen die Einhaltung nationaler und internationaler Vorschriften erleichtern und basieren nach Firmenangaben auf einem mehrstufigen Ansatz zum Schutz vor Datenlecks verbunden mit Aufsichts- und Prüfmöglichkeiten für in- und externe IT-Kommunikationswege. ( www.infowatch.eu)
• Zusammenarbeit von SafeBoot und ActivIdentity: Die Partnerschaft ermöglicht die Verbindung der Authentifizierungs-Software ActivClient unter Nutzung von Smartcards oder Tokens, wie beispielsweise ActivKey, mit der SafeBoot Device Encryption. ( www.safeboot.com /  www.actividentity.com)
• Symantec übernimmt Altiris: Eine entsprechende Vereinbarung wurde Ende Januar unterzeichnet und ist noch den üblichen Genehmigungsverfahren durch Aktionäre und Aufsichtsbehörden unterworfen. Mit dem Abschluss der Akquisition rechnen die Unternehmen im Laufe des zweiten Quartals 2007. ( www.symantec.com/region/de /  www.altiris.com)
• systeam heißt jetzt Brain Force Frankfurt: Die Umfirmierung ist eine Konsequenz der bereits 2006 erfolgten Übernahme durch die Brain Force Holding AG. ( www.brainforce.de /  www.systeam.de)
• Kooperation von Utimaco und Microsoft: Im Rahmen der Partnerschaft integrieren beide Unternehmen Vistas Bitlocker in SafeGuard Enterprise, um das Microsoft-Verfahren auch in heterogenen IT-Landschaften unter der zentralen Verwaltung durch die Utimaco-Software einsetzbar zu machen. Weitere Aspekte der Zusammenarbeit sind einer Pressemeldung zufolge gemeinsame Marketingaktivitäten für die integrierte Lösung sowie die Darstellung der SafeGuard-Enterprise-Suite auf der CeBIT 2007 in Microsofts virtuellem Musterunternehmen Contoso. ( www.utimaco.de /  www.microsoft.de)
• Der Secure-Messaging-Anbieter Totemo streckt seine Fühler nach Deutschland aus: Das Schweizer Softwareunternehmen gab Mitte Januar einige bedeutende deutsche Referenz-Kunden bekannt. Aufgrund der überraschend großen Resonanz werde man in den kommenden Monaten die Vertriebskanäle in Deutschland weiter intensivieren. ( www.totemo.ch)

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007^#1, Seite 107
tag:kes.info,2007:art:2007-1-107