David Kennedy. Jim O Gorman. Devon Kearns. Mati Aharoni. Metasploit. Die Kunst des Penetration Testing

Größe: px
Ab Seite anzeigen:

Download "David Kennedy. Jim O Gorman. Devon Kearns. Mati Aharoni. Metasploit. Die Kunst des Penetration Testing"

Transkript

1 David Kennedy Jim O Gorman Devon Kearns Mati Aharoni Metasploit Die Kunst des Penetration Testing

2 Kapitel 1 Grundlagen des Penetrationstests Penetrationstests ermöglichen es, Methoden zu simulieren, die ein Angreifer benutzen könnte, um Sicherheitskontrollen zu umgehen und damit Zugriff auf schützenswerte Systeme zu erlangen. Ein echter Penetrationstest besteht aus weit mehr als nur dem Starten irgendwelcher Scannerprogramme und/oder automatisch laufender Instrumente und dem anschließenden Schreiben eines Berichts. Man wird auch nicht von heute auf morgen ein Experte als Penetrationstester. Es bedarf jahrelanger Erfahrung und Praxis, um wirklich sachkundig zu werden. Derzeit verändert sich die Art und Weise, wie Penetrationstests von der Sicherheitsbranche wahrgenommen werden. Der PTES (Penetration Testing Execution Standard) hat den Penetrationstest neu definiert und davon sind nicht nur neue, sondern auch erfahrene Penetrationstester betroffen. Führende Mitglieder der Sicherheitsgemeinschaft haben diesen Standard bereits übernommen. Ziel ist es, festzulegen und ein Bewusstsein dafür zu schaffen, was einen echten Penetrationstest ausmacht, und zwar durch den Beschluss einer Richtlinie mit grundlegenden Prinzipien, die erforderlich sind, um einen Penetrationstest durchzuführen. Falls Penetrationstests für Sie Neuland sind oder Ihnen der PTES nicht vertraut ist, besuchen Sie die Website um mehr darüber zu erfahren. 1.1 Die PTES-Phasen Die PTES-Phasen dienen dazu, einen Penetrationstest genau zu beschreiben und für das Unternehmen des Klienten sicherzustellen, dass sich alle involvierten Sicherheitsexperten an einen vorgegebenen Standard halten. Dieser Standard ist in sieben Kategorien unterteilt, die in Abhängigkeit von dem betroffenen Unternehmen unterschiedlich hohen Arbeitsaufwand erfordern Vorbereitungsphase In der Vorbereitungsphase findet eine Absprache mit dem Klienten statt, um den Umfang und die Bedingungen des Penetrationstests festzulegen. Dabei ist es von entscheidender Bedeutung, dass Sie das Ziel der ganzen Aktion vermitteln. Hier bietet sich auch eine gute Gelegenheit, dem Kunden zu erläutern, was von einem gründlichen, umfassenden Penetrationstest zu erwarten ist, wenn dieser ohne Beschränkungen durchgeführt wird. 27

3 Kapitel 1 Grundlagen des Penetrationstests Informationsbeschaffung Während der Informationsbeschaffungsphase sammeln Sie sämtliche Informationen über das Unternehmen, derer Sie habhaft werden können. Nutzen Sie dazu soziale Medien und Netzwerke, Google-Hacking,»Footprinting«(das Zusammentragen öffentlich verfügbarer Daten über das Angriffsziel) usw. Die Fähigkeit, etwas über ein Angriffsziel in Erfahrung zu bringen, ist eine der wichtigsten Kompetenzen eines Penetrationstesters. Wie verhält sich das Ziel? Wie reagiert es auf bestimmte Vorkommnisse? Und nicht zuletzt: Wo ist es angreifbar? Die hier gewonnenen Informationen liefern bereits wertvolle Erkenntnisse über die vorhandenen Sicherheitsmaßnahmen. Im Rahmen der Informationsbeschaffung versuchen Sie herauszufinden, welche Schutzmechanismen eingerichtet sind, indem Sie allmählich mit der Erkundung der Systeme beginnen. Beispielsweise gestatten viele Unternehmen Datenverkehr auf extern zugänglichen Geräten nur auf einigen wenigen Ports. Wenn Sie einen Port anfragen, der nicht auf der Positivliste steht, werden Sie abgeblockt. Es ist überhaupt eine gute Idee, das genaue Verhalten zunächst von einer entbehrlichen IP-Adresse aus zu überprüfen, deren Blockierung oder Entdeckung tragbar ist. Gleiches gilt für das Testen von Webapplikationen, deren Firewalls Sie nach dem Überschreiten eines Schwellwerts für weitere Abfragen sperren. Um bei dieser Art von Test unentdeckt zu bleiben, sollten Sie die anfänglichen Scans von einem IP-Adressbereich aus durchführen, den man nicht mit Ihnen oder Ihrem Team in Verbindung bringen kann. Unternehmen mit direkter Internetanbindung werden typischerweise täglich angegriffen und so werden Ihre Sondierungen wahrscheinlich zu einem nicht weiter beachteten Teil des Hintergrundrauschens. Hinweis In manchen Fällen kann es sinnvoll sein, sehr auffällige Scans von einem völlig anderen IP-Bereich aus durchzuführen, als demjenigen, den Sie für den eigentlichen Angriff benutzen wollen. Das kann Ihnen auch dabei helfen, zu beurteilen, wie das Unternehmen auf die bereits verwendeten Programme reagiert Threat Modeling Das Threat Modeling (»Bedrohungs-Modellierung«) verwendet die während der Informationsbeschaffungsphase erarbeiteten Daten, um alle vorhandenen Schwachstellen eines Zielsystems aufzudecken. Hierbei wird festgelegt, welche die wirksamste Angriffsmethode ist, welche Art von Informationen gesucht wird und auf welche Weise das Unternehmen angegriffen werden könnte. Threat Modeling bedeutet auch, das Unternehmen als einen Gegenspieler wahrzunehmen und zu versuchen, Schwächen auszunutzen ebenso, wie es ein echter Angreifer täte. 28

4 1.1 Die PTES-Phasen Schwachstellenanalyse Nach Bestimmung der aussichtsreichsten Angriffsmethode müssen Sie erwägen, wie Sie auf das Angriffsziel zugreifen. Bei der Schwachstellenanalyse werden Informationen der vorhergehenden Phasen kombiniert, um zu entscheiden, welche Art von Angriff praktikabel sein könnte. Dabei werden unter anderem Port- und Schwachstellenscans, beim Banner Grabbing (dem Zusammentragen von Informationen aus Status-, Fehler- und Systemmeldungen verschiedener Dienste) erhaltene Daten sowie Resultate der Informationsbeschaffung berücksichtigt Rechnerübernahme Die Übernahme eines Systems (engl. Exploitation) ist vermutlich einer der glanzvollsten Aspekte eines Penetrationstests, obwohl sie oft mittels roher Gewalt statt durch Präzision erreicht wird. Ein Exploit sollte nur dann ausgeführt werden, wenn Sie auch nicht den Hauch eines Zweifels daran haben, dass diese spezielle Übernahme erfolgreich sein wird. Es ist natürlich immer möglich, dass auf dem Angriffsziel unvorhergesehene Schutzmaßnahmen getroffen wurden, die das Funktionieren eines bestimmten Exploits verhindern aber bevor Sie auf eine bestimmte Schwachstelle abzielen, sollten Sie auch wirklich wissen, dass das System dafür anfällig ist. Blindlings einen Massenansturm von Exploits abzufeuern und flehentlich auf eine Shell zu hoffen, ist kontraproduktiv: Es ist auffällig und bringt Ihnen als Penetrationstester und Ihrem Klienten wenig oder gar keinen Nutzen. Machen Sie zunächst Ihre Hausaufgaben und starten Sie danach wohldurchdachte Exploits, die aller Voraussicht nach auch Aussicht auf Erfolg haben Nach der Übernahme Diese Phase beginnt, nachdem Sie eines oder mehrere der angegriffenen Systeme kompromittiert haben Sie sind aber noch weit davon entfernt, fertig zu sein. Das Stadium nach der Übernahme ist wesentlicher Bestandteil eines Penetrationstests. Hier unterscheiden Sie sich vom durchschnittlichen Feld-Wald-und-Wiesen- Hacker und liefern durch Ihren Penetrationstest sogar wertvolle Informationen und Erkenntnisse. In dieser Stufe werden einzelne Systeme gezielt ins Visier genommen, kritische Infrastrukturen ausfindig gemacht und Informationen und Daten ins Auge gefasst, die das Unternehmen besonders wertschätzt und die es zu schützen versucht hat. Erschließen Sie sich nun ein System nach dem anderen und versuchen Sie, Angriffe aufzuzeigen, die den größten Einfluss auf den Geschäftsbetrieb hätten. Wenn Sie Systeme nach der Übernahme angreifen, sollten Sie sich die Zeit nehmen, um herauszufinden, was genau die verschiedenen Systeme leisten und was deren Benutzerrollen sind. Nehmen wir beispielsweise an, Sie kompromittieren 29

5 Kapitel 1 Grundlagen des Penetrationstests ein System der Domäneninfrastruktur und erlangen die Rechte eines Domänenadministrators. Sie mögen nun zwar Herrscher über die Domäne sein, aber was ist mit den Systemen, die sich mit Active Directory in Verbindung setzen? Was ist mit der Hauptfinanzanwendung, die für die Bezahlung der Mitarbeiter eingesetzt wird? Könnten Sie das System kompromittieren und beim nächsten Lohnbuchungsdurchlauf das ganze Geld des Unternehmens auf ein ausländisches Konto transferieren? Wie steht es um das geistige Eigentum von auf dem Angriffsziel befindlichen Inhalten? Angenommen, Ihr Klient ist ein großer Betrieb, der Software entwickelt und seinen Mandanten kundenspezifische Applikationen liefert, die in Produktionsumgebungen eingesetzt werden. Wäre es möglich, durch das Hintertürchen an den Quellcode zu gelangen und im Grunde alle Kunden des Klienten zu kompromittieren? Welchen Schaden würde das in Bezug auf die Vertrauenswürdigkeit des Produkts anrichten? Es handelt sich hierbei um eines dieser komplizierten Szenarien, für die Sie sich Zeit nehmen müssen, um in Erfahrung zu bringen, welche Informationen verfügbar sind und wie Sie diese Informationen dann zu Ihrem Vorteil einsetzen können. Um genau das zu tun, wird sich ein Angreifer gewöhnlich für eine geraume Zeit mit einem kompromittierten System beschäftigen. Denken Sie wie ein bösartiger Angreifer, seien Sie wandlungsfähig und vertrauen Sie auf Ihren Verstand, nicht auf automatisierte Instrumente Berichterstattung Die Berichterstattung ist mit Abstand der wichtigste Bestandteil eines Penetrationstests. Sie werden in Ihren Berichten darlegen, was Sie getan haben, wie Sie es getan haben und, was am wichtigsten ist, wie das Unternehmen die während des Penetrationstests aufgedeckten Schwachstellen beheben sollte. Dass Sie bei einem Penetrationstest den Standpunkt eines Angreifers vertreten, nimmt kaum ein Unternehmen richtig wahr. Die Informationen, die Sie während eines Tests gewinnen, sind unverzichtbar für den Erfolg des Sicherheitsprogramms und die Abwehr künftiger Angriffe. Überlegen Sie beim Zusammenstellen Ihres Untersuchungsergebnisses, wie das Unternehmen Ihre Resultate dazu nutzen kann, ein höheres Problembewusstsein zu schaffen, aufgedeckte Schwierigkeiten zu beseitigen und die Sicherheit insgesamt zu erhöhen, anstatt nur die technischen Schwachstellen auszubessern. Sie sollten Ihren Bericht zumindest in einer Kurzfassung, einer Version für die Führungsebene und als technischen Befund formulieren. Der technische Befund dient dem Klienten in erster Linie zur Beseitigung der Sicherheitslücken, darüber hinaus finden sich darin jedoch noch weitere Nutzeffekte eines Penetrationstests. Falls Sie beispielsweise in einer Webanwendung des Klienten eine Anfälligkeit für 30

6 1.2 Arten des Penetrationstests SQL-Injektionen entdecken, könnten Sie empfehlen, sämtliche Benutzereingaben zu bereinigen, parametrisierte SQL-Abfragen (die SQL-Injektionen verhindern) durchzusetzen, die SQL-Datenbank mit eingeschränkten Rechten laufen zu lassen und maßgefertigte Fehlermeldungen zu erlauben. Anschließend werden Ihre Empfehlungen implementiert und das benannte Problem mit der SQL-Injektion wird ebenfalls behoben. Aber ist der Klient nun vor SQL-Injektionen geschützt? Natürlich nicht. Möglicherweise hat ursprünglich ein tiefer liegendes Problem die SQL-Injektions-Schwachstelle verursacht, etwa, dass nicht geprüft wurde, ob Anwendungen von Drittherstellern sicher sind. Diese müssen ggf. auch korrigiert werden. Hinweis Anm. d. Ü.: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hier einen sehr ähnlichen, fünfstufigen Prozess. Der Unterschied besteht im Wesentlichen darin, dass Schwachstellenanalyse, Übernahme und die Phase nach der Übernahme als eine einzige Stufe zusammengefasst werden. 1.2 Arten des Penetrationstests Sie haben nun ein grundlegendes Verständnis der sieben PTES-Kategorien erlangt, daher wollen wir im Folgenden die zwei wichtigsten Arten des Penetrationstests betrachten: offen und verdeckt. Ein offener Pentest, auch als»white- Box«-Test bezeichnet, geschieht mit vollem Wissen und Einverständnis der Organisation. Verdeckte Tests (»Black-Box«-Test) sind hingegen darauf ausgelegt, die Handlungen eines unbekannten und unangekündigten Angreifers zu simulieren. Jede dieser Testmethoden bietet Vor- und Nachteile Offene Penetrationstests Im Falle eines offenen Penetrationstests arbeiten Sie mit dem Unternehmen zusammen, um potenzielle Sicherheitsbedrohungen aufzuspüren. Die IT des Unternehmens oder die Arbeitsgruppe für Sicherheit zeigt Ihnen die vorhandenen Systeme. Der wesentliche Vorteil eines offenen Tests besteht darin, dass Sie Zugang zu Insiderwissen erhalten und Angriffe starten können, ohne dabei befürchten zu müssen, blockiert zu werden. Eine potenzielle Kehrseite offener Tests ist, dass diese die Vorfallsbehandlung des Klienten möglicherweise nicht sonderlich effektiv prüfen bzw. nur bedingt aufzeigen, wie erfolgreich das Sicherheitskonzept bestimmte Angriffe erkennt. Falls nur ein begrenzter Zeitrahmen zur Verfügung steht und einige PTES-Phasen wie die Informationsbeschaffung undurchführbar sind, kann ein offener Test sehr wohl die erste Wahl sein. 31

7 Kapitel 1 Grundlagen des Penetrationstests Verdeckte Penetrationstests Im Gegensatz zu offenen Tests sind genehmigte verdeckte Penetrationstests dazu gedacht, die Handlungen eines Angreifers zu simulieren und werden ohne Wissen weiter Teile des Unternehmens durchgeführt. Verdeckte Tests werden ausgeführt, um die Fähigkeit der internen Arbeitsgruppe für Sicherheit zu überprüfen, einen Angriff zu erkennen und auf diesen zu reagieren. Derartige Tests können aufwendig und zeitraubend sein und erfordern eingehendere Fachkenntnisse als offene Tests. Aus der Sicht eines Penetrationstesters in der Sicherheitsbranche ist das verdeckte Szenario oftmals vorzuziehen, weil hier ein echter Angriff am genauesten vorgetäuscht wird. Bei verdeckten Angriffen kommt Ihre Fähigkeit zum Tragen, durch Auskundschaften an Informationen zu gelangen. Aus diesem Grund werden Sie als verdeckter Tester typischerweise nicht versuchen, möglichst viele Schwachstellen eines Angriffsziels aufzuspüren, sondern sich lediglich darum bemühen, den einfachsten Weg zu finden, um Zugriff auf das System zu erhalten und zwar unbemerkt. 1.3 Schwachstellenscanner Schwachstellenscanner sind automatisierte Werkzeuge, die es ermöglichen, Sicherheitslücken ausfindig zu machen, von denen ein gegebenes System bzw. Programm betroffen ist. Typischerweise verwenden Schwachstellenscanner ein»fingerprinting«vom Betriebssystem des Angriffsziels (d.h. die Bestimmung von Version und Typ) sowie zur Erkennung sämtlicher aktiver Dienste. Sobald das Betriebssystem des Angriffsziels erkannt ist, bedienen Sie sich des Schwachstellenscanners, um einzelne Tests durchzuführen und festzustellen, ob Schwachstellen existieren. Diese Tests sind natürlich nur so gut wie ihre Programmierer und können wie jede automatisierte Lösung manchmal Schwachstellen eines Systems übersehen oder diese fehlerhaft darstellen. Die meisten modernen Schwachstellenscanner leisten bei der Minimierung falsch positiver Erkennungen erstaunlich gute Arbeit. Viele Organisationen nutzen Schwachstellenscanner zum Aufspüren veralteter Systeme oder potenzieller neuer Sicherheitslücken, die von Angreifern ausgenutzt werden könnten. Schwachstellenscanner spielen beim Penetrationstest eine sehr wichtige Rolle, insbesondere im Falle offener Tests, die vielerlei Angriffe erlauben, ohne dass man sich Gedanken darüber machen müsste, wie man einer Entdeckung entgehen kann. Die mithilfe des Schwachstellenscanners zusammengetragene Wissensfülle kann von unschätzbarem Wert sein, aber hüten Sie sich davor, sich zu sehr darauf zu verlassen. Das Schöne an Penetrationstests ist, dass sie sich nicht automatisieren lassen und ein erfolgreicher Angriff auf ein System Ihr Expertenwissen und Ihre Fachkenntnisse verlangt. Wenn Sie zu einem erfahrenen Penetrationstester 32

8 1.4 Auf den Punkt gebracht geworden sind, werden Sie einen Schwachstellenscanner nur in den seltensten Fällen einsetzen und stattdessen auf Ihre Expertise und Ihr Fachwissen vertrauen, um ein System zu kompromittieren. 1.4 Auf den Punkt gebracht Falls Penetrationstests für Sie Neuland sind oder Sie noch keine formale Methode übernommen haben, beschäftigen Sie sich mit dem PTES. Bei der Durchführung eines Penetrationstests müssen Sie wie bei jedem Experiment sicherstellen, dass dieser Prozess präzise und anpassungsfähig ist, aber auch wiederholbar. Als Penetrationstester müssen Sie gewährleisten, dass sowohl die Informationsbeschaffung als auch die Schwachstellenanalyse so fachmännisch wie möglich erfolgen, damit Sie über einen Vorsprung verfügen, wenn Sie sich in einen neu zutage getretenen Anwendungsfall einarbeiten. 33

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni. Metasploit. Übersetzung aus dem amerikanischen Englisch von Knut Lorenzen.

David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni. Metasploit. Übersetzung aus dem amerikanischen Englisch von Knut Lorenzen. David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni Metasploit Übersetzung aus dem amerikanischen Englisch von Knut Lorenzen mitp haltsverzeichnis Geleitwort von HD Moore 13 Vorwort 17 Einführung 21

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke 1 Testen von System- & Netzwerksicherheit 2 Gliederung Sicherheit im Allgemeinen Testbereiche Methodik und Standards Hilfsmittel im Speziellen nessus nmap Szenario im praktischen Teil 3 Fragen zur Sicherheit

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de POLIZEI Hamburg Wir informieren www.polizei.hamburg.de Online-Sicherheit Die Nutzung des Internet ist für die meisten von uns heute selbstverständlich. Leider fehlt es vielen Nutzerinnen und Nutzern allerdings

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick

IT-Schwachstellenampel: Produktsicherheit auf einen Blick Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1 Aktuelle Lage 2 Bedrohungen für

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ IT-SECURITY-FORUM: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ 1 Aktuelle Lage 2 Bedrohungen für Unternehmen Welche Folgen können für Sie aus Datenpannen

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

McAfee Security-as-a-Service -

McAfee Security-as-a-Service - Handbuch mit Lösungen zur Fehlerbehebung McAfee Security-as-a-Service - Zur Verwendung mit der epolicy Orchestrator 4.6.0-Software Dieses Handbuch bietet zusätzliche Informationen zur Installation und

Mehr

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

SCHWACHSTELLE MENSCH

SCHWACHSTELLE MENSCH KAPITEL 2: SICHERHEIT BEGINNT UND ENDET BEIM BENUTZER SCHWACHSTELLE MENSCH 1 SCHWACHSTELLE MENSCH 2014 hat die NTT Group Millionen von Sieben der zehn häufigsten Sicherheitslücken auf Kundensystemen Sicherheitslücken

Mehr

IT-SECURITY. Detect. Act. Protect.

IT-SECURITY. Detect. Act. Protect. Oktober 2015 IT-SECURITY Detect. Act. Protect. Security-Plattform für SAP 360 0 Sicherheit EDR-Technologie Security, die mitdenkt IT Blackout Deep Security Sicherung privilegierter Benutzerkonten Assessment

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

SAP Security Assessment und Live Hack in Ihrem Unternehmen

SAP Security Assessment und Live Hack in Ihrem Unternehmen SAP Security Assessment und Live Hack in Ihrem Unternehmen Halten Sie es für möglich, das man in 2 Stunden ein komplettes SAP-System kompromittieren kann? Wir halten es in 90% aller Fälle für möglich.

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 08. Dezember 2006 Laptop: Tragbarer, zeitweilig netzunabhängiger Computer mit einem klappbaren,

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Lagebild Cyber-Sicherheit

Lagebild Cyber-Sicherheit Lagebild Cyber-Sicherheit Dr. Hartmut Isselhorst Bundesamt für Sicherheit in der Informationstechnik Hannover, 5. März 2013 Zahlen und Fakten Schwachstellen 5.257 neue Schwachstellen in 2012 = 100 pro

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Was ist das Metasploit-Framework?............................. 2 1.2 Ziel des Buches............................................. 2 1.3 Wer sollte dieses Buch lesen?...................................

Mehr

7 Tipps zur Durchführung von Usability-Tests

7 Tipps zur Durchführung von Usability-Tests Whitepaper 02 von Usability-Tests 7 Tipps Wenn Sie für die Durchführung nicht auf eine externe Agentur zurückgreifen, sondern diese selbst durchführen möchten, sollten Sie die Grundzüge kennen. Nur so

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Risiko-Management für IT-Unternehmen

Risiko-Management für IT-Unternehmen Risiko-Management für IT-Unternehmen Risiken erkennen, bewerten, vermeiden, vernichten und versichern Frankfurt den 28.02.2013 IT-Sicherheit schützt Ihre Unternehmenswerte Gefahren Folgen Angriffsziele

Mehr

Agile Software Verteilung

Agile Software Verteilung Agile Software Verteilung Vortrag: René Steg Steg IT-Engineering, Zürich (Schweiz) Gründe für Agile Software-Verteilung Wenn Sie Hunderte von Servern mit vielen Anwendungen betreiben Verteilte Anwendungen

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

Die verschiedenen Arten von Cyberangriffen. und wie Sie diese abwehren können

Die verschiedenen Arten von Cyberangriffen. und wie Sie diese abwehren können Die verschiedenen Arten von Cyberangriffen und wie Sie diese abwehren können Einführung Die Cyberkriminellen von heute wenden verschiedene komplexe Techniken an, um beim Eindringen in Unternehmensnetzwerke

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

FAQ: Schwachstelle in Kartenterminals

FAQ: Schwachstelle in Kartenterminals Schwachstelle in den Kartenterminals: Fragen und Antworten 25. Mai 2010 Bei den Kartenterminals zum Einlesen der elektronischen Gesundheitskarte (egk) hat die gematik in der Software eine Schwachstelle

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

Web Application Security

Web Application Security Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

JobServer Installationsanleitung 08.05.2013

JobServer Installationsanleitung 08.05.2013 JobServer sanleitung 08.05.2013 Der JobServer ist ein WCF Dienst zum Hosten von Workflow Prozessen auf Basis der Windows Workflow Foundation. Für die wird das Microsoft.NET Framework 3.5 und 4.0 vorausgesetzt.

Mehr

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH 6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2009: Vergleich Fehlerbaum und Angriffsbaum 7.1 Fehlerbaum Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit

Mehr

SICHERHEIT FÜR IHR BUSINESS

SICHERHEIT FÜR IHR BUSINESS IT MIT VOQUZ IST: SICHERHEIT FÜR IHR BUSINESS WEITER, IMMER WEITER. SO GEHT IT-SECURITY. Die andere Seite wird immer besser, also müssen wir es auch werden, um unseren Vorsprung zu halten. Dass Sicherheitsmaßnahmen

Mehr

Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit Dirk Häger Bundesamt für Sicherheit in der Informationstechnik Bonn, 13. November 2012 1 Nationales CyberSicherheitsprogramm (BSI) Folie aus 2011 Ziele: die Risiken des Cyber-Raums

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Bevor ein Angreifer in ein System eindringen kann, muss er sich Informationen über dieses System beschaffen. Er muss wissen, welche Ports offen sind,

Mehr

Penetration Testing. Die Vorsorgeuntersuchung für Ihre IT-Sicherheit. Hamburg/Osnabrück/Bremen 18./25./26. November 2014.

Penetration Testing. Die Vorsorgeuntersuchung für Ihre IT-Sicherheit. Hamburg/Osnabrück/Bremen 18./25./26. November 2014. Penetration Testing Die Vorsorgeuntersuchung für Ihre IT-Sicherheit Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Tim Kohnen Agenda 1. Überblick zu Forensischen Leistungen 2. Was ist Penetration Testing?

Mehr

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12. Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit Uwe Bernd-Striebeck RSA Security Summit München, 12. Mai 2014 Security Consulting Planung und Aufbau von Informationssicherheit

Mehr

SICHERHEIT FÜR IHR BUSINESS

SICHERHEIT FÜR IHR BUSINESS IT MIT VOQUZ IST: SICHERHEIT FÜR IHR BUSINESS WEITER, IMMER WEITER. SO GEHT IT-SECURITY. WIR SEHEN DAS GANZE Die andere Seite wird immer besser, also müssen wir es auch werden, um unseren Vorsprung zu

Mehr

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger.

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger. Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik www.bsi-fuer-buerger.de MOBILKOMMUNIKATION VORWORT Mobilkommunikation Basisschutz leicht

Mehr

Nachtrag zur Dokumentation

Nachtrag zur Dokumentation Nachtrag zur Dokumentation Zone Labs-Sicherheitssoftware Version 6.5 Dieses Dokument behandelt neue Funktionen und Dokumentaktualisierungen, die nicht in die lokalisierten Versionen der Online-Hilfe und

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit mobilen Geräten Mobilkommunikation Vorwort Mobilkommunikation Basisschutz leicht

Mehr

Softwaretechnik. Vertretung von Prof. Dr. Blume Fomuso Ekellem WS 2011/12

Softwaretechnik. Vertretung von Prof. Dr. Blume Fomuso Ekellem WS 2011/12 Vertretung von Prof. Dr. Blume WS 2011/12 Inhalt Test, Abnahme und Einführung Wartung- und Pflegephase gp Vorlesung Zusammenfassung Produkte und Recht (Folien von Prof. Blume) 2 , Abnahme und Einführung

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Ändern von IP Adressen beim ISA Server (intern/extern)

Ändern von IP Adressen beim ISA Server (intern/extern) Ändern von IP Adressen beim ISA Server (intern/extern) Version: 1.0 / 25.12.2003 Die in diesem Whitepaper enthaltenen Informationen stellen die behandelten Themen aus der Sicht von Dieter Rauscher zum

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen

Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Sicherheit für Karteninhaber- und Transaktionsdaten/Schutz vor Hackerangriffen Neue Programme von MasterCard und VISA: SDP Side Data Protection MasterCard AIS Account Information Security VISA Zielgruppen

Mehr

mitp Professional Metasploit Die Kunst des Penetration Testing von Mati Aharoni, Devon Kearns, David Kennedy, Jim O Gorman

mitp Professional Metasploit Die Kunst des Penetration Testing von Mati Aharoni, Devon Kearns, David Kennedy, Jim O Gorman mitp Professional Metasploit Die Kunst des Penetration Testing von Mati Aharoni, Devon Kearns, David Kennedy, Jim O Gorman 2012 Metasploit Aharoni / Kearns / Kennedy / et al. schnell und portofrei erhältlich

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

Installation und Lizenz

Installation und Lizenz Das will ich auch wissen! Kapitel 2 Installation und Lizenz Inhaltsverzeichnis Überblick über dieses Dokument... 2 Diese Kenntnisse möchten wir Ihnen vermitteln... 2 Diese Kenntnisse empfehlen wir... 2

Mehr

Computer am Internet. Im DSL-Zeitalter hat der betriebsbereite Computer eine Dauerverbindung zum Internet.

Computer am Internet. Im DSL-Zeitalter hat der betriebsbereite Computer eine Dauerverbindung zum Internet. Computer am Internet Im DSL-Zeitalter hat der betriebsbereite Computer eine Dauerverbindung zum Internet. Folglich ist er während der Betriebsdauer durch kriminelle Aktivitäten im Internet gefährdet. Das

Mehr

ET CHUTZ-PAK RS CYBE

ET CHUTZ-PAK RS CYBE Wertvolles schützen Ist Ihre Firewall so sicher wie Fort Knox oder ähnelt sie doch eher der Verteidigung von Troja? Mit anderen Worten: Kann man bei Ihnen ein vermeintlich harmlos aussehendes Objekt platzieren,

Mehr

Netzwerk- Prüfung Risikobericht

Netzwerk- Prüfung Risikobericht Netzwerk- Prüfung Risikobericht VERTRAULICHE Informationen: Die in diesem Bericht enthaltene Informationen sind ausschließlich für den Gebrauch des oben angegebenen Kunden und enthält unter Umständen vertrauliche,

Mehr

Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn

Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn Sicherheit in der Datenkommunikation Wie viel Sicherheit ist möglich und nötig? Christoph Sorge Universität Paderborn Fachgebiet Codes & Kryptographie, Prof. Dr. Johannes Blömer Zentrum für Informations-

Mehr