ERS-IT-News Februar 2003

1. Checkliste: Sind Sie fit für den Datenzugriff der Finanzverwaltung?
2. IDEA für GDPdU
3. Erfahrungen mit der elektronischen Betriebsprüfung bei der Firma Knauber
4. Microsoft: Gefährliche Lücke in Windows
5. SAP präsentiert neue Enterprise Services Architecture
6. IBM Studie: Auf Basel II sind viele Banken nicht ausreichend vorbereitet
7. Microsoft kündigt zweite Betaversion von Exchange Server 2003 "Titanium" an
8. Lücke in Windows-Domänen-Controllern
9. Erweiterte Informationspflicht für Online-Shops
10. Hinweise zu IT-gestützten Prüfungstechniken
11. Deutsche Telekom: UMTS-Mobilfunk startet im dritten Quartal
12. Angreifbare IBM-Datenbank

1) Checkliste: Sind Sie fit für den Datenzugriff der Finanzverwaltung?

Zusammengestellt von Ahrens & Behrent Agentur für Kommunikation GmbH unter fachlicher Mitwirkung von Bernhard Lindgens vom Bundesamt für Finanzen.
Herr Lindgens verantwortet die praktische Umsetzung des Datenzugriffsrechts der Finanzverwaltung, die Entwicklung des Beschreibungsstandards für die Datenträgerüberlassung sowie den Fragen- und Antwortenkatalog des Bundesfinanzministeriums im Internet. Beim Datenzugriff der Finanzverwaltung sind die GDPdU und GoBS für alle buchführungspflichtigen Unternehmer, Freiberufler und Selbständige von Bedeutung, die im Rahmen ihrer unternehmerischen Tätigkeit Hard- und Software-Systeme einsetzen. In den meisten Unternehmen werden dabei digitale und nicht-digitale Dokumente erstellt und verarbeitet.
(Quelle: http://www.elektronische-steuerpruefung.de/checklist/gdpdu_fit.pdf)

nach oben

2) IDEA für GDPdU

Seit September 2002 ist "IDEA für GDPdU" erhältlich. Mit der Import-Komponente (SmartX), die erstmals in dem Paket enthalten ist, verfügen Sie über die gleichen Analyse-Werkzeuge, wie demnächst auch die Außenprüfer der Finanzverwaltung. Seit November 2002 steht SmartX 1.1 zur Verfügung. Neben zahlreichen Detailverbesserungen unterstützt SmartX 1.1 jetzt Datenlieferungen auf mehreren Datenträgern (z.B. mehrere CD-ROMs) und die dynamische Erzeugung von INDEX.XML-Dateien während der Ausführung eines Befehls in der Command-Section. Dies ist bei verschlüsselten oder gepackten Datenträgern wichtig. SmartX zeigt jetzt nach Abschluß des Imports einen Bericht an und ermöglicht den Aufruf der Analyse-Komponente, wenn SmartX
alleine gestartet wurde.

(Quelle: http://audiconbi.audicon.net/gdpdu/audicon.htm)

nach oben

3) Erfahrungen mit der elektronischen Betriebsprüfung bei der Firma Knauber

18. November 2002
„Wenn an der elektronischen Betriebsprüfung schon kein Weg vorbeiführt, dann springen wir lieber schnell ins kalte Wasser." Mit dieser Einstellung ging die Firma Knauber an die unlängst anstehende Betriebsprüfung heran. Knauber erwarb kurzfristig die von der Finanzverwaltung eingesetzte Prüfsoftware IDEA und stellte sie dem Prüfer auf einem leistungsstarken PC zur Verfügung. Darüber hinaus war Knauber bei der Datenbereitstellung sehr kooperativ und entdeckte, wie viel ungeahnter Zusatznutzen eine Software wie IDEA im Unternehmen entfalten kann.
Die Betriebsprüfung über die Jahre 1998 - 2000 stand bei der Carl Knauber Holding GmbH & Co. KG (www.knauber.de) an. Das im Großraum Bonn/Köln tätige Handelsunternehmen (Freizeitmärkte, Heizungstechnik, Mineralöl, Gas) mit 350 Mill. Euro Umsatz (in 2001) hatte dem Betriebsprüfer jede Menge Daten zu bieten: 10.000 Kreditoren, 50.000 Debitoren, 500 Sachkonten, 350 Kostenstellen, 3 Mill. Buchungssätze bei 4 Mandanten. Der Prüfer kam, packte sein Notebook (512 KB Arbeitsspeicher, 2 GB Festplatte) aus und ... würde wohl heute noch prüfen, denn sein Computer ging bei dieser Datenmenge schnell in die Knie. Kurzentschlossen stellte ihm Hasan Cürük, der Leiter Organisation und Datenverarbeitung bei Knauber einen nagelneuen PC hin: 4 GB Arbeitsspeicher, 200 GB Festplatte. Und er packte IDEA </pruefsw/a_pruefsw.htm> auf den Rechner, die Software, mit der zukünftig alle 14.000 Außenprüfer der Finanzverwaltung prüfen werden.
Durch die Installation von IDEA ließ sich auch eine unternehmensspezifische „Altlast" beseitigen. Ein Teil der prüfungsrelevanten Daten befand sich auf einem bereits 1999 ausgemusterten, weil nicht jahr-2000-fähigen Wang-System. Das wurde immer nur noch dann wieder hochgefahren, wenn ein Betriebsprüfer kam. Doch dieses Mal war partout nichts zu machen, der Rechner ließ sich nicht starten. An die Buchführungsdaten war so direkt nicht mehr heranzukommen. Glücklicherweise gab es noch die alten Drucklisten, auch in elektronischer Form. Und aus diesen ließen sich mit Hilfe von IDEA die Buchführungsdaten wieder zum Leben erwecken.
Und nicht nur das. Musste früher am Wang-System ein Mitarbeiter 4 Wochen lang für den Prüfer abgestellt werden, so war dies mit IDEA nun nicht mehr nötig. Und es taten sich weitere Möglichkeiten auf, eine Prüfung für das Unternehmen kostengünstiger zu gestalten. IDEA protokolliert im Hintergrund alles mit, was der Benutzer macht. und speichert das Protokoll als Makro ab. Das kann der Prüfer beim nächsten Mal dann zur Verfügung gestellt bekommen, damit die Prüfung noch schneller geht. Schließlich muss man das Rad nicht jedes Mal neu erfinden.
Das bekommen nun auch die Wirtschaftsprüfer von Knauber zu hören. Bislang haben sie Jahr für Jahr immer wieder die selben EXCEL-Tabellen neu entwickelt. Doch damit ist jetzt Schluss. Sie bekommen den leistungsstarken IDEA-Rechner hingestellt, können so von der ersten Minute an effizienter arbeiten und helfen damit dem Unternehmen die Wirtschaftsprüfungskosten zu optimieren.
Die Betriebsprüfung mit IDEA führte zu teilweise erstaunlichen Ergebnissen. So trat ein Programmfehler im alten Wang-System zu Tage, der zuvor 12 Jahre lang von niemandem entdeckt wurde.
Nur gute Erfahrungen machte Knauber mit der sehr kooperativen Einstellung bei der Betriebsprüfung. So wurde etwa mit dem Prüfer frühzeitig die Problematik mit dem alten System besprochen und eine für beide Seiten akzeptable Einigung erzielt.
Schnell erweiterte sich bei Knauber der Kreis der IDEA-Nutzer um die Mitarbeiter des Controllings und der Buchhaltung. Was die Mitarbeiter damit alles machen? Die Steuerprüfung und deren Vorbereitung einschließlich eines Vorabchecks, Klärungsarbeiten in der Finanzbuchhaltung wie Kontenklärungen, Erstellung von internen Auswertungen, Informationsaufbereitung für die verschiedensten Zwecke, weitere Nutzung von bereits archivierten Daten.
Bevor sich der Nutzen von IDEA im Unternehmen entfalten konnte, war allerdings noch eine Hürde zu nehmen. Die Mitarbeiter mussten von den neuen Gedanken und Ideen erst überzeugt werden. Das war insbesondere bei den altgedienten Buchhaltern nicht ganz einfach. Doch schließlich gelang es.
Die Vorteile der Nutzung eines Tools wie IDEA fasst Hasan Cürük so zusammen:

• Externe wie Wirtschaftsprüfer oder Betriebsprüfer benötigen keine Detailkenntnisse der firmeneigenen Finanzbuchhaltungsprogramme
• Es sind nur geringe EDV-Fachkenntnisse erforderlich
• Die Prüfer können selbstständig arbeiten
• Die internen Zuarbeiten für die Prüfer werden reduziert
• Deutlich kürzere Zugriffszeiten auf Informationen
• Der Anwender kann die Informationen selbst aufbereiten
• Geringer Schulungsbedarf
• Weitreichende Auswertungsmöglichkeiten ohne Zusatzprogrammierung
• Verzicht auf kostenintensive Archivierung
  (Quelle: http://www.elektronische-steuerpruefung.de/prueferf/knauber.htm)
  

nach oben

4) Microsoft: Gefährliche Lücke in Windows

Ein Buffer Overflow in Microsofts Data Access Component (MDAC) vor Version 2.7 ermöglicht das Ausführen von beliebigen Codes unter Windows 98, ME, NT und 2000. Microsofts neueste Betriebssysteminkarnation Windows XP ist nicht betroffen: Die eingebaute MDAC-Version 2.7 http://www.microsoft.com/data/download_270RTM.htm ist für das Problem nicht mehr anfällig. Betroffen sind grundsätzlich die MDAC-Versionen 2.1 bis 2.6 sowie der Internet Explorer 5.01 bis 6 (mit Ausnahme des Internet Explorers in Windows XP).
MDAC dient dazu, Datenbankzugriff für Windows- und Webanwendungen bereit zu stellen. Nach Ansicht von Microsoft dürfte es auf den meisten Windows-Systemen installiert sein: Bei Windows XP, 2000 und ME ist es Bestandteil der Standardinstallation und bei NT 4.0 ist MDAC im Option-Pack enthalten; im Internet Explorer sind einige Bestandteile von MDAC enthalten, so daß selbst dann, wenn das Paket, das es auch separat zum Download gibt, nicht installiert ist, Nutzer des Microsoft-Webbrowsers betroffen sind.
Die Lücke in MDAC kann entweder über Webbrowser oder -server ausgenutzt werden: Über das Senden von speziell manipulierten HTTP-Paketen können Angreifer direkt Binärcode übermitteln, der sofort zur Ausführung kommt. Webserver, bei denen der Administrator explizit die Remote Data Services (RDS) des Internet Information Server (IIS) aktiviert hat, sind ebenfalls gefährdet. Standardmäßig sind RDS jedoch deaktiviert. Anwender aller Windows-Versionen außer XP sollten dringend den von Microsoft im entsprechenden Security-Bulletin http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
security/bulletin/MS02-065.asp bereitgestellten Patch einspielen.
(Quelle: http://www.heise.de/ct/01/23/216)

nach oben

5) SAP präsentiert neue Enterprise Services Architecture

New York City, 16.1.2003.
Die SAP AG hat heute ihre neue Enterprise Services Architecture (ESA) vorgestellt, die als Referenzarchitektur für zukünftige Geschäftsanwendungen gelten wird. Die SAP spezifiziert damit ihre Entwicklungsplanung für eine vollständig integrierte Anwendungsumgebung für Geschäftsapplikationen, die auf Web-Services aufbauen, sowie existierende Anwendungslösungen einbindet. Damit bietet die Enterprise Services Architecture bestmöglichen Investitionsschutz. ESA liefert Unternehmen eine Vorlage, wie sie auf Basis einer Services-basierten Architektur IT-Umgebungen schaffen können, die system- und unternehmensübergreifend arbeiten. Dabei stellt SAP erstmals dar, wie Web-Services zukünftig als flexible Basis für Geschäftsanwendungen einsetzbar sind. Gleichzeitig hat die SAP mit SAP NetWeaver die Weiterentwicklung von mySAP Technology, der offenen und flexiblen Technologie-Plattform, präsentiert und stellt damit die technische Grundlage von ESA vor.
Die neue Enterprise Services Architecture (ESA) beschreibt, wie eine Integrations- und Applikationsplattform genutzt werden kann, um Geschäftsprozesse schnell und flexibel abzubilden und aufeinander abzustimmen. So ermöglicht ESA das Design zusammengesetzter Lösungen (composite applications), die auf bestehenden Systemen aufsetzen und Web-Services nutzen, um spezielle Geschäftsprobleme oder -aufgaben schnell und effizient zu bearbeiten. ESA erreicht eine neue Dimension von Flexibilität, da alle Aspekte eines Geschäftsprozesses inklusive aller eingebundenen Personen, Systeme und Informationen gesteuert werden können; das umfasst SAP- und SAP-fremde Anwendungen sowie strukturierte und unstrukturierte Daten - also beispielsweise Datenbanken und Dokumente - entlang der gesamten Wertschöpfungskette. In der Enterprise Services Architecture werden alle Funktionalitäten als Service behandelt. Services-basierte Architekturen gelten als Lösungsansatz für den steigenden Integrationsbedarf in IT-Umgebungen, da sie universell einsetzbar sind. Als technische Grundlage des ESA-Modells bildet SAP NetWeaver die integrierende Applikationsplattform der SAP. Sie liefert die Werkzeuge, Vorlagen, Methoden und Parameter, mit denen SAP und ihre Partner in der Lage sind, schnell neue Geschäftsprozesse zu entwickeln, die auf bereits bestehenden aufsetzen. Die darunter liegenden Systeme bleiben dabei die gleichen.

Die dritte Generation von Geschäftsanwendungen
Mit der Enterprise Services Architecture definiert SAP die neue und dritte Architekturgeneration für Geschäftsanwendungen. „Die heutige Ankündigung ist für SAP genau so bedeutend wie seinerzeit die Einführung der dreistufigen, dezentralen Client-/Server-Architektur“, erklärte Hasso Plattner, Mitgründer und Vorstandssprecher der SAP AG. „SAPs anhaltender Erfolg basiert auf unserer Fähigkeit, Kundenbedürfnisse und -anforderungen, die sich immer wieder ändern, in umfassende Geschäftslösungen abzubilden. Dabei hat es SAP stets verstanden, neue Technologien zu nutzen. Die jüngsten Markterfolge von mySAP Technology und der SAP xApps haben uns angespornt, die dort verwirklichten Konzepte in allen Lösungen anzuwenden. Mit der Einführung von ESA schaffen wir in IT-Umgebungen die Voraussetzungen für Anpassungsfähigkeit und Interoperabilität. Firmen werden zukünftig in der Lage sein, aktuelle Technologien zu nutzen, um ihren Geschäftsprozess systemübergreifend mit Kunden, Partnern und Lieferanten zusammenzuführen und eine homogene Wertschöpfungskette aufzubauen.“

SAPs dreistufige Server-Architektur wurde schnell zum de-facto-Standard. So liefert sie die Basis für Client-/Server-Systeme, um Informationen und Prozesse auf Anwender-, Applikations- sowie Datenebene zu integrieren. Diese dreistufige Architektur bildet die Grundlage aller SAP-Lösungen, die heute bei mehr als 19.000 Unternehmen weltweit im Einsatz sind. Während die dreistufige Client-/Server-Architektur vorhandene Mainframe-Systeme ersetzte, eröffnet ESA Unternehmen die Chance, durch den Einsatz von Web-Services die Flexibilität ihrer IT-Umgebung zu erhöhen und dabei auf bestehenden Lösungen aufzubauen. Das ESA-Konzept ebnet den Weg für die Integration heterogener Anwendungen. In dieser Services-basierten Architektur werden alle Applikationen als Service behandelt, die Anwender jederzeit und problemlos nutzen können. Dabei setzt die SAP auf die Vorteile offener, standard- und Web-basierter Technologien und sorgt gleichzeitig für den Schutz bestehender Investitionen.

Die neue ESA-Architektur bildet bereits die Basis für die ersten ausgelieferten SAP xApps. Dabei handelt es sich um vorgefertigte, bereichsübergreifende Applikationen, die auf bestehenden Systemen aufsetzen. Außerdem liefert ESA das Konzept für die Entwicklung und Bereitstellung neuer Funktionen für SAP-Lösungen in der Zukunft. Geplant sind beispielsweise neue Integrationsszenarien für SAP-Anwendungslösungen, neue Funktionen für Branchenanwendungen und Funktionserweiterungen für SAPs ERP-Lösung (Enterprise Resource Planning) sowie mehr Flexibilität für kundenspezifische Entwicklungsprojekte. „Web-Services werden heute primär genutzt, um existierende Systeme einzukapseln,“ erläuterte Yvonne Genovese, Research Director bei der Gartner Group. „Die permanente und sofortige Informationsverarbeitung im Sinne der ‚Real-time Enterprise’ erfordert jedoch Geschäftsprozesse, die auf einer Services-basierten Infrastruktur aufbauen und in der Web-Services integraler Bestandteil zusammengesetzter Applikationen sind.“
Weitere Informationen zu SAP NetWeaver finden Sie in der entsprechenden Pressemitteilung unter http://www.sap.com/press.
(Quelle: http://www.sap-ag.de/germany/aboutSAP/press/
press_show.asp?ID=871)

nach oben

6) IBM Studie: Auf Basel II sind viele Banken nicht ausreichend vorbereitet

Deutliche Unterschiede zwischen großen und kleineren Finanzinstituten:
Die Vorbereitungen für die Umsetzung von Basel II haben begonnen - allerdings in höchst unterschiedlichem Umfang, wie eine weltweite Studie des IBM Institute for Business Value gezeigt hat. Befragt wurden die Basel II-Verantwortlichen in 32 Finanzinstituten unterschiedlicher Größe nach dem Stand ihrer Vorbereitungen.
Mehr als dreiviertel der Banken sieht sich zwar im Zeitplan, jedoch haben erst 40 Prozent der Großbanken und 37 Prozent der kleineren Institute damit begonnen, die notwendigen Daten für eine umfassende Datenhistorie aus den verschiedensten internen und externen Quellen zu sammeln, zu integrieren und zu konsolidieren.
Eine der schwierigsten Aufgaben liegt primär in den Bereichen Datenmanagement und -verarbeitung: 96 Prozent sehen hier die größte Herausforderung. Insbesondere der Integration historischer Kundendaten kommt dabei hinsichtlich künftiger Anforderungen an das Rating der Kreditnehmer und das Risikomanagement der Geldinstitute erhebliche Bedeutung zu. Ebenfalls 40 Prozent der Großbanken sowie knapp ein Drittel der kleinen Banken ist dagegen noch mit der Planung dazu befasst. Die verbleibenden Institute beider Gruppen haben nach eigenen Angaben sogar erst die Analysephase erreicht.
(Quelle: http://www.ibm.com/news/de/2003/01/15a.html)

nach oben

7) Microsoft kündigt zweite Betaversion von Exchange Server 2003 "Titanium" an

Microsoft hat die Verfügbarkeit der zweiten Betaversion von Titanium angekündigt. Dabei handelt es sich um die neueste Version der Microsoft Exchange Server Software für Messaging und Personal Information Management, die voraussichtlich im Sommer dieses Jahres unter dem Namen "Exchange Server 2003" auf den Markt kommen wird. Die Testversion kann unter http://www.microsoft.com/exchange/evaluation/ti heruntergeladen oder auf CD bezogen werden. Die Betaversion 2 wurde im Rahmen des Exchange Joint Development Programms (JDP) von Kunden und Partnern umfangreich getestet und evaluiert. Darüber hinaus hat Microsoft "Titanium" intern getestet und bereits mehr als die Hälfte aller Microsoft Mitarbeiter an die neue Exchange-Version angebunden. Mohsen Al-Ghosein, Vice President des Geschäftsbereichs Exchange Server von Microsoft, erläutert: „Unsere Kunden erwarten von einer Kommunikations-Infrastruktur mehr als nur die zuverlässige Übermittlung von E-Mails. Sie muss einen klaren Mehrwert für das Unternehmen bringen. Dazu gehören beispielsweise eine höhere Produktivität der Information Worker und des IT-Personals und reduzierte Betriebskosten, verbunden mit einer hohen Zuverlässigkeit und erweiterter Sicherheit. Mit der Kombination aus Exchange Server 2003, dem Outlook 11 Client und Windows Server 2003 bieten wir unseren Unternehmenskunden eine leistungsstarke End-to-End Messaging-Lösung an." Exchange Server 2003 und Outlook 11 werden voraussichtlich im Sommer 2003 auf dem Markt kommen, im Anschluss an den für das Frühjahr 2003 geplanten Launch von Windows Server 2003.
Höhere Produktivität
Kunden, die Exchange 5.5 oder Exchange 2000 einsetzen, profitieren bei einem Upgrade auf Exchange Server 2003 und Outlook 11 insbesondere von der erhöhten Flexibilität und Effizienz sowie der vereinfachten Verwaltung. Die zahlreichen Optimierungen in Exchange Server 2003 und Outlook 11 zielen darauf ab, die Produktivität und die Benutzerfreundlichkeit für Information Worker zu erhöhen. Mit dem neuen Cache-Betriebsmodus lässt sich viel Zeit sparen, da die Synchronisierung der Benutzerinformationen transparent und einheitlich im Hintergrund erfolgt. Auf diese Weise kann der User mit einer regelmäßig aktualisierten, lokalen Kopie seines Mail-Accounts arbeiten, unabhängig von der Qualität der Netzwerkverbindung. Die verbesserte Benutzeroberfläche von Outlook 11 umfasst Suchordner und ein optimiertes Sichtfenster, mit dem sich 40 Prozent mehr Informationen auf dem Bildschirm anzeigen lassen als in den früheren Versionen von Outlook. Dies trägt zu einer erhöhten Produktivität bei der Verwaltung personengebundener Informationen bei.
Das Protokoll für die Kommunikation zwischen Outlook und Exchange, MAPI, wurde ebenfalls optimiert. Durch eine Minimierung des Netzwerkverkehrs zwischen Client und Server und die Datenkomprimierung lässt sich die Leistungsfähigkeit des E-Mail-Systems deutlich erhöhen. Da der Benutzer mit MAPI über das gesicherte HTTP direkt auf den Exchange Server zugreifen kann, entfällt bei Remote-Zugriffen die komplexe und kostenintensive Anbindung an das Unternehmensnetzwerk über ein Virtual Private Network (VPN).
Exchange Server 2003 ermöglicht die einfache Anbindung einer Vielzahl von Clients, einschließlich mobiler Endgeräte. Durch die erweiterte Outlook Web Access Funktionalität kann der Benutzer über einen Browser auf einen Großteil der Funktionen zugreifen, die er von einem Desktop-Client gewöhnt ist. Die Benutzeroberfläche wurde ebenfalls überarbeitet und entspricht größtenteils den Neuerungen von Outlook 11. Die neue Version von Exchange verfügt über einen integrierten Support für den drahtlosen Zugriff über Outlook Mobile Access. Außerdem werden mobile Endgeräte unterstützt, die mit Protokollen wie iMode, cHTML und WAP 2.0 Microbrowsern arbeiten, sowie Windows-basierte Pocket PCs und SmartPhones.Dazu Rolf Hansmann, Leiter Global E-Mail und Collaboration Services bei Aventis Pharma: „Der ständige Austausch mit unseren Vertriebsmitarbeitern in der ganzen Welt ist in der Pharmaindustrie von zentraler Bedeutung. Dass Mobilität bei Exchange Server 2003 und Outlook 11 eine wichtige Rolle spielt, kommt uns sehr entgegen. Sehr positiv ist die Leistungssteigerung, die durch die reduzierte Netzbelastung beim Datenaustausch zwischen Outlook und Exchange erzielt wird. Wie wir bei unseren Tests gesehen haben, profitieren insbesondere unsere remoten Benutzer, die mit niedrigen Bandbreiten arbeiten, von der neuen Exchange Version."
Optimierte Systemstabilität
Die Einbindung des Exchange Servers 2003 in Windows Server 2003 sorgt für eine höhere Zuverlässigkeit der IT-Umgebung. Die Integration mit den Volume Shadow Copy Services von Windows Server 2003 ermöglicht ein sofortiges Backup und die Wiederherstellung der Exchange Server. Auf diese Weise sind Administratoren in der Lage, eine größere Anzahl von Benutzern auf einem einzigen Server zu unterstützen. Windows Server 2003 unterstützt Cluster mit bis zu acht Knoten, wodurch sich hochverfügbare Messaging-Umgebungen realisieren lassen. Eine Optimierung der allgemeinen Systemleistung wird duch Verbesserungen von MAPI in Outlook 11 und dem Exchange Server 2003 herbeigeführt. Dank dieser Funktionalitäten können Server in regionalen Rechenzentren zentralisiert werden. Darüber hinaus kann eine höhere Anzahl von Benutzern in entfernten Büros unterstützt werden, ohne dass ein dedizierter Server vor Ort eingesetzt werden muss.
Ein weiterer Vorteil ist die vereinfachte Implementierung und Verwaltung der Nachrichtenübermittlung. Mit Bewertungs-Tools für die Implementierung der Active Directory Verzeichnisdienste und des Active Directory Connector Wizard können Unternehmen ihre bestehende Infrastruktur analysieren und ihre Umgebung automatisch für ein Upgrade auf Exchange Server 2003 vorbereiten. Das Exchange Management Pack für Microsoft Operations Manager ermöglicht eine automatische Systemüberwachung und stellt mehr als 1.700 Regeln zur Verfügung, mit denen Administratoren die Kommunikationsinfrastruktur noch genauer überwachen können. Exchange Server 2003 vereinfacht zudem die Bereitstellung und die Verwaltung von Outlook, Outlook Web Access und Outlook Mobile Access von einer einzigen, zentralen Stelle. Der Vorteil dieser Tools liegt in einem zügigen Upgrade der Umgebung, minimalen Ausfallzeiten während des Upgrades und weniger Störungen für den User.
Mehr Sicherheit
Microsoft Exchange Server 2003 und Windows Server 2003 tragen der Trustworthy Computing Initiative von Microsoft Rechnung und wurden mit dem Ziel konzipiert, ein Höchstmaß an Sicherheit im Hinblick auf Design, Störungen und den laufenden Betrieb zu gewährleisten. Der Administrator ist in der Lage, nur die Funktionen zu installieren, die für die jeweilige Umgebung benötigt werden. Darüber hinaus wird Outlook Web Access künftig das S/MIME Sicherheitsprotokoll unterstützen, um Nachrichten zu kennzeichnen und zu verschlüsseln. Administratoren sind in der Lage, Verbindungen zu unterbrechen und damit die Wahrscheinlichkeit von Sicherheitsverletzungen zu verringern. Exchange Server 2003 verfügt zudem über neue Funktionen zum Schutz vor Junk-Mails. Dazu gehört auch das Filtern von Verbindungen auf Basis von Echtzeit-Listen mit sogenannten schwarzen Löchern und Dial-Up Benutzerlisten. Durch Verbesserungen der VSAPI, der für das Virus-Scannen zuständigen Anwendungsprogramm-Schnittstelle in Exchange Server 2003, können auch Antivirus-Produkte anderer Hersteller auf Exchange Servern eingesetzt werden, die keine residenten Exchange Mailboxes haben. Damit können eingehende Nachrichten im Hinblick auf möglicherweise harmlose Codes untersucht werden, sobald sie die Unternehmensgrenzen überschreiten.
Weitere Informationen finden Sie unter http://www.microsoft.com/exchange und http://www.microsoft.com/presspass/features/2003/
jan03/0106titanium.asp.

nach oben

8) Lücke in Windows-Domänen-Controllern

Gestern hat Microsoft ein Security Bulletin Security Bulletin veröffentlicht, das vor einem Sicherheitsloch warnt, das größere Windows-Netze betrifft. Eine Lücke in einem Dienst namens "RPC Locator", der normalerweise nur auf Domänen Controllern aktiv ist, kann sowohl für Sabotageakte als auch dazu genutzt werden, Code auf dem jeweiligen System auszuführen. Microsoft empfiehlt Betroffenen, den Patch umgehend zu installieren. Im Security Bulletin finden sich Download-Links zum dem Patch für Windows NT4, 2000 und XP.
(Quelle: http://www.heise-online.de/newsticker/data/ps-23.01.03-000/)

nach oben

9) Erweiterte Informationspflicht für Online-Shops

Die am 1. Januar 2003 in Kraft getretene Änderung der deutschen Preisangabenverordnung Preisangabenverordnung schreibt für Betreiber von Internet-Shops eine erweiterte Informationspflicht vor. So muss künftig auf den virtuellen Katalogseiten ausdrücklich darauf hingewiesen werden, dass es sich bei den dort genannten Preisen um Inklusivpreise handelt, die Umsatzsteuer und sämtliche anderen Preisbestandteile enthalten. Zudem müssen die Online-Shops auch auf eventuell anfallende Liefer- und Versandkosten hinweisen. Gemäß Paragraf 1, Absatz 6 der Preisangabenverordnung reicht es nicht aus, diese Angaben beispielsweise auf einer Seite mit den Allgemeinen Geschäftsbedingungen unterzubringen; vielmehr müssen sie so platziert werden, dass sie für den Verbraucher deutlich wahrnehmbar sind. Die komplette Neufassung der Preisangabenverordnung, mit der entsprechende Vorgaben der Europäischen Union in deutsches Recht umgesetzt worden sind, kann im Internet abgerufen werden.
(Quelle: http://www.ihk-newsletter.de/aktuell/200301/02_001.html)

nach oben

10) Hinweise zu IT-gestützten Prüfungstechniken

In obiger Angelegenheit möchten wir Sie gerne auf neu vorliegende bzw. verbesserte Prü­fungshilfsmittel der REVIDATA sowie auf die angegebenen Veranstaltungen aufmerksam machen:

Erweiterte und verbesserte Zusatzprogramme für ACL-Prüfsoftware
Die von REVIDATA erstellten Zusatzprogramme zur gemeinsamen Verwendung mit ACL-Prüfsoftware - welche u.a. auch von der Österreichischen Finanzverwaltung ge­nutzt werden - wurden noch einmal überarbeitet, erweitert und verbessert. Sie finden die geänderte Programmversion an der bekannten Stelle innerhalb des Download-Bereichs unseres Internet-Auftritts "www.revidata.de". Auch denjenigen Unternehmen, die bereits mit den von uns erstellten Programmen arbeiten, wird die Übernahme der veränderten Programmversion empfohlen.
Neue Leitfäden zur Umwandlung von SAP R/3(TM)-Inforamtionen in das PDF-Format
Das PDF-Format zur Verwendung mit dem kostenfrei erhältlichen Programm "Acrobat Reader" hat sich zum weit verbreiteten Standard für die Archivierung und den Aus­tausch revisionsseitig erzeugter Listen entwickelt. Der vorstehend bezeichnete Leitfaden zeigt auf, wie direkt aus dem SAP R/3(TM)-Sy­stem mittels dort vorhandener Programme alle auf den Bildschirm erzeugten Listen direkt in ein PDF-Format überführt werden können. Er steht - wie alle anderen Un­terlagen auch - auf Interesse und bei Anforderung allen Interessenten zur Verfügung.
Neue Übersicht prüfungsrelevanter Programme aus dem SAP R/3(TM)-System
Bei der Generierung prüfungsrelevanter Informationen aus dem SAP R/3(TM)-System erweist sich die Suche nach den hierfür zur Verfügung stehenden Programme erfah­rungsgemäß als Problem. Um sie hierfür zusätzlich zu unterstützen, haben unsere Mitarbeiter eine Sichtung von mehr als 25.000 Standardauswertungen vorgenommen und eine Übersicht mit zugehörigen Erläuterungen von etwa 1.000 Reports erzeugt, welche für Systemprüfungen, zur Kontrolle von Ordnungsmäßigkeitsanforderungen, für Berechtigungsprüfungen sowie für Zwecke der kaufmännischen Revision einsetz­bar sind. Die entsprechende Übersicht steht ebenfalls im PDF-Format zur Verfügung und wird Interessenten auf Anforderung gerne übermittelt.
REVIDATA-Partnerveranstaltung in Hamburg
Zur Vorbereitung von Unternehmen auf den elektronischen Datenzugriff der Finanz­verwaltung erreichen uns viele Anfragen. Wir nehmen daher die Erweiterung unserer Hamburger Niederlassung mit Frau Eva Romatzeck (Steuerberaterprüfung, CIA, CFA) gerne zum Anlass, Sie noch einmal zu einer hierauf gerichteten Veranstaltung am 26. Februar 2003 in den Räumen unseres dortigen Kooperationspartners, der HTG Schomerus & Partner GmbH, einzuladen. Die zugehörige Agenda sowie das Anmeldeformular sind dieser Nachricht ebenfalls im PDF-Format beigefügt.
(Quelle: http://www.revidata.de/)

nach oben

11) Deutsche Telekom: UMTS-Mobilfunk startet im dritten Quartal

Die Deutsche Telekom will im Herbst 2003 mit der kommerziellen
Markteinführung des Mobilfunk-Standards UMTS starten.
(Quelle: http://www.chip.de/news_stories/news_stories_9628262.html)

nach oben

12) Angreifbare IBM-Datenbank

In der IBM DB2 Universal Database (UDP) für die Hardware-Plattform iSeries in den Versionen 3.2 bis 5.2 existiert ein Fehler, der einem Angreifer erlaubt, Kommandos und Scripte auf dem Rechner auszuführen. Die Schwachstelle liegt im SQL-Befehl CREATE PROCEDURE. Dieser erlaubt jegliche gespeicherte Anweisungen (SQL stored procedure) auf der Maschine auszuführen. Ein sachkundiger Angreifer könnte so Shell-Kommandos oder REXX-Scripte ausführen und ggf. die vollständige Kontrolle über die Maschine erlangen. Ein Sicherheitspatch seitens IBM ist noch nicht erhältlich. Als Absicherung sollte der Datenbank-Administrator den allgemeinen Zugriff auf alle PGM-Objekte und auf die Programme "QCMDEXC" and "QREXX" auf dem System sperren.

nach oben