David Kennedy. Jim O Gorman. Devon Kearns. Mati Aharoni. Metasploit. Die Kunst des Penetration Testing

Größe: px
Ab Seite anzeigen:

Download "David Kennedy. Jim O Gorman. Devon Kearns. Mati Aharoni. Metasploit. Die Kunst des Penetration Testing"

Transkript

1 David Kennedy Jim O Gorman Devon Kearns Mati Aharoni Metasploit Die Kunst des Penetration Testing

2 Kapitel 1 Grundlagen des Penetrationstests Penetrationstests ermöglichen es, Methoden zu simulieren, die ein Angreifer benutzen könnte, um Sicherheitskontrollen zu umgehen und damit Zugriff auf schützenswerte Systeme zu erlangen. Ein echter Penetrationstest besteht aus weit mehr als nur dem Starten irgendwelcher Scannerprogramme und/oder automatisch laufender Instrumente und dem anschließenden Schreiben eines Berichts. Man wird auch nicht von heute auf morgen ein Experte als Penetrationstester. Es bedarf jahrelanger Erfahrung und Praxis, um wirklich sachkundig zu werden. Derzeit verändert sich die Art und Weise, wie Penetrationstests von der Sicherheitsbranche wahrgenommen werden. Der PTES (Penetration Testing Execution Standard) hat den Penetrationstest neu definiert und davon sind nicht nur neue, sondern auch erfahrene Penetrationstester betroffen. Führende Mitglieder der Sicherheitsgemeinschaft haben diesen Standard bereits übernommen. Ziel ist es, festzulegen und ein Bewusstsein dafür zu schaffen, was einen echten Penetrationstest ausmacht, und zwar durch den Beschluss einer Richtlinie mit grundlegenden Prinzipien, die erforderlich sind, um einen Penetrationstest durchzuführen. Falls Penetrationstests für Sie Neuland sind oder Ihnen der PTES nicht vertraut ist, besuchen Sie die Website um mehr darüber zu erfahren. 1.1 Die PTES-Phasen Die PTES-Phasen dienen dazu, einen Penetrationstest genau zu beschreiben und für das Unternehmen des Klienten sicherzustellen, dass sich alle involvierten Sicherheitsexperten an einen vorgegebenen Standard halten. Dieser Standard ist in sieben Kategorien unterteilt, die in Abhängigkeit von dem betroffenen Unternehmen unterschiedlich hohen Arbeitsaufwand erfordern Vorbereitungsphase In der Vorbereitungsphase findet eine Absprache mit dem Klienten statt, um den Umfang und die Bedingungen des Penetrationstests festzulegen. Dabei ist es von entscheidender Bedeutung, dass Sie das Ziel der ganzen Aktion vermitteln. Hier bietet sich auch eine gute Gelegenheit, dem Kunden zu erläutern, was von einem gründlichen, umfassenden Penetrationstest zu erwarten ist, wenn dieser ohne Beschränkungen durchgeführt wird. 27

3 Kapitel 1 Grundlagen des Penetrationstests Informationsbeschaffung Während der Informationsbeschaffungsphase sammeln Sie sämtliche Informationen über das Unternehmen, derer Sie habhaft werden können. Nutzen Sie dazu soziale Medien und Netzwerke, Google-Hacking,»Footprinting«(das Zusammentragen öffentlich verfügbarer Daten über das Angriffsziel) usw. Die Fähigkeit, etwas über ein Angriffsziel in Erfahrung zu bringen, ist eine der wichtigsten Kompetenzen eines Penetrationstesters. Wie verhält sich das Ziel? Wie reagiert es auf bestimmte Vorkommnisse? Und nicht zuletzt: Wo ist es angreifbar? Die hier gewonnenen Informationen liefern bereits wertvolle Erkenntnisse über die vorhandenen Sicherheitsmaßnahmen. Im Rahmen der Informationsbeschaffung versuchen Sie herauszufinden, welche Schutzmechanismen eingerichtet sind, indem Sie allmählich mit der Erkundung der Systeme beginnen. Beispielsweise gestatten viele Unternehmen Datenverkehr auf extern zugänglichen Geräten nur auf einigen wenigen Ports. Wenn Sie einen Port anfragen, der nicht auf der Positivliste steht, werden Sie abgeblockt. Es ist überhaupt eine gute Idee, das genaue Verhalten zunächst von einer entbehrlichen IP-Adresse aus zu überprüfen, deren Blockierung oder Entdeckung tragbar ist. Gleiches gilt für das Testen von Webapplikationen, deren Firewalls Sie nach dem Überschreiten eines Schwellwerts für weitere Abfragen sperren. Um bei dieser Art von Test unentdeckt zu bleiben, sollten Sie die anfänglichen Scans von einem IP-Adressbereich aus durchführen, den man nicht mit Ihnen oder Ihrem Team in Verbindung bringen kann. Unternehmen mit direkter Internetanbindung werden typischerweise täglich angegriffen und so werden Ihre Sondierungen wahrscheinlich zu einem nicht weiter beachteten Teil des Hintergrundrauschens. Hinweis In manchen Fällen kann es sinnvoll sein, sehr auffällige Scans von einem völlig anderen IP-Bereich aus durchzuführen, als demjenigen, den Sie für den eigentlichen Angriff benutzen wollen. Das kann Ihnen auch dabei helfen, zu beurteilen, wie das Unternehmen auf die bereits verwendeten Programme reagiert Threat Modeling Das Threat Modeling (»Bedrohungs-Modellierung«) verwendet die während der Informationsbeschaffungsphase erarbeiteten Daten, um alle vorhandenen Schwachstellen eines Zielsystems aufzudecken. Hierbei wird festgelegt, welche die wirksamste Angriffsmethode ist, welche Art von Informationen gesucht wird und auf welche Weise das Unternehmen angegriffen werden könnte. Threat Modeling bedeutet auch, das Unternehmen als einen Gegenspieler wahrzunehmen und zu versuchen, Schwächen auszunutzen ebenso, wie es ein echter Angreifer täte. 28

4 1.1 Die PTES-Phasen Schwachstellenanalyse Nach Bestimmung der aussichtsreichsten Angriffsmethode müssen Sie erwägen, wie Sie auf das Angriffsziel zugreifen. Bei der Schwachstellenanalyse werden Informationen der vorhergehenden Phasen kombiniert, um zu entscheiden, welche Art von Angriff praktikabel sein könnte. Dabei werden unter anderem Port- und Schwachstellenscans, beim Banner Grabbing (dem Zusammentragen von Informationen aus Status-, Fehler- und Systemmeldungen verschiedener Dienste) erhaltene Daten sowie Resultate der Informationsbeschaffung berücksichtigt Rechnerübernahme Die Übernahme eines Systems (engl. Exploitation) ist vermutlich einer der glanzvollsten Aspekte eines Penetrationstests, obwohl sie oft mittels roher Gewalt statt durch Präzision erreicht wird. Ein Exploit sollte nur dann ausgeführt werden, wenn Sie auch nicht den Hauch eines Zweifels daran haben, dass diese spezielle Übernahme erfolgreich sein wird. Es ist natürlich immer möglich, dass auf dem Angriffsziel unvorhergesehene Schutzmaßnahmen getroffen wurden, die das Funktionieren eines bestimmten Exploits verhindern aber bevor Sie auf eine bestimmte Schwachstelle abzielen, sollten Sie auch wirklich wissen, dass das System dafür anfällig ist. Blindlings einen Massenansturm von Exploits abzufeuern und flehentlich auf eine Shell zu hoffen, ist kontraproduktiv: Es ist auffällig und bringt Ihnen als Penetrationstester und Ihrem Klienten wenig oder gar keinen Nutzen. Machen Sie zunächst Ihre Hausaufgaben und starten Sie danach wohldurchdachte Exploits, die aller Voraussicht nach auch Aussicht auf Erfolg haben Nach der Übernahme Diese Phase beginnt, nachdem Sie eines oder mehrere der angegriffenen Systeme kompromittiert haben Sie sind aber noch weit davon entfernt, fertig zu sein. Das Stadium nach der Übernahme ist wesentlicher Bestandteil eines Penetrationstests. Hier unterscheiden Sie sich vom durchschnittlichen Feld-Wald-und-Wiesen- Hacker und liefern durch Ihren Penetrationstest sogar wertvolle Informationen und Erkenntnisse. In dieser Stufe werden einzelne Systeme gezielt ins Visier genommen, kritische Infrastrukturen ausfindig gemacht und Informationen und Daten ins Auge gefasst, die das Unternehmen besonders wertschätzt und die es zu schützen versucht hat. Erschließen Sie sich nun ein System nach dem anderen und versuchen Sie, Angriffe aufzuzeigen, die den größten Einfluss auf den Geschäftsbetrieb hätten. Wenn Sie Systeme nach der Übernahme angreifen, sollten Sie sich die Zeit nehmen, um herauszufinden, was genau die verschiedenen Systeme leisten und was deren Benutzerrollen sind. Nehmen wir beispielsweise an, Sie kompromittieren 29

5 Kapitel 1 Grundlagen des Penetrationstests ein System der Domäneninfrastruktur und erlangen die Rechte eines Domänenadministrators. Sie mögen nun zwar Herrscher über die Domäne sein, aber was ist mit den Systemen, die sich mit Active Directory in Verbindung setzen? Was ist mit der Hauptfinanzanwendung, die für die Bezahlung der Mitarbeiter eingesetzt wird? Könnten Sie das System kompromittieren und beim nächsten Lohnbuchungsdurchlauf das ganze Geld des Unternehmens auf ein ausländisches Konto transferieren? Wie steht es um das geistige Eigentum von auf dem Angriffsziel befindlichen Inhalten? Angenommen, Ihr Klient ist ein großer Betrieb, der Software entwickelt und seinen Mandanten kundenspezifische Applikationen liefert, die in Produktionsumgebungen eingesetzt werden. Wäre es möglich, durch das Hintertürchen an den Quellcode zu gelangen und im Grunde alle Kunden des Klienten zu kompromittieren? Welchen Schaden würde das in Bezug auf die Vertrauenswürdigkeit des Produkts anrichten? Es handelt sich hierbei um eines dieser komplizierten Szenarien, für die Sie sich Zeit nehmen müssen, um in Erfahrung zu bringen, welche Informationen verfügbar sind und wie Sie diese Informationen dann zu Ihrem Vorteil einsetzen können. Um genau das zu tun, wird sich ein Angreifer gewöhnlich für eine geraume Zeit mit einem kompromittierten System beschäftigen. Denken Sie wie ein bösartiger Angreifer, seien Sie wandlungsfähig und vertrauen Sie auf Ihren Verstand, nicht auf automatisierte Instrumente Berichterstattung Die Berichterstattung ist mit Abstand der wichtigste Bestandteil eines Penetrationstests. Sie werden in Ihren Berichten darlegen, was Sie getan haben, wie Sie es getan haben und, was am wichtigsten ist, wie das Unternehmen die während des Penetrationstests aufgedeckten Schwachstellen beheben sollte. Dass Sie bei einem Penetrationstest den Standpunkt eines Angreifers vertreten, nimmt kaum ein Unternehmen richtig wahr. Die Informationen, die Sie während eines Tests gewinnen, sind unverzichtbar für den Erfolg des Sicherheitsprogramms und die Abwehr künftiger Angriffe. Überlegen Sie beim Zusammenstellen Ihres Untersuchungsergebnisses, wie das Unternehmen Ihre Resultate dazu nutzen kann, ein höheres Problembewusstsein zu schaffen, aufgedeckte Schwierigkeiten zu beseitigen und die Sicherheit insgesamt zu erhöhen, anstatt nur die technischen Schwachstellen auszubessern. Sie sollten Ihren Bericht zumindest in einer Kurzfassung, einer Version für die Führungsebene und als technischen Befund formulieren. Der technische Befund dient dem Klienten in erster Linie zur Beseitigung der Sicherheitslücken, darüber hinaus finden sich darin jedoch noch weitere Nutzeffekte eines Penetrationstests. Falls Sie beispielsweise in einer Webanwendung des Klienten eine Anfälligkeit für 30

6 1.2 Arten des Penetrationstests SQL-Injektionen entdecken, könnten Sie empfehlen, sämtliche Benutzereingaben zu bereinigen, parametrisierte SQL-Abfragen (die SQL-Injektionen verhindern) durchzusetzen, die SQL-Datenbank mit eingeschränkten Rechten laufen zu lassen und maßgefertigte Fehlermeldungen zu erlauben. Anschließend werden Ihre Empfehlungen implementiert und das benannte Problem mit der SQL-Injektion wird ebenfalls behoben. Aber ist der Klient nun vor SQL-Injektionen geschützt? Natürlich nicht. Möglicherweise hat ursprünglich ein tiefer liegendes Problem die SQL-Injektions-Schwachstelle verursacht, etwa, dass nicht geprüft wurde, ob Anwendungen von Drittherstellern sicher sind. Diese müssen ggf. auch korrigiert werden. Hinweis Anm. d. Ü.: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hier einen sehr ähnlichen, fünfstufigen Prozess. Der Unterschied besteht im Wesentlichen darin, dass Schwachstellenanalyse, Übernahme und die Phase nach der Übernahme als eine einzige Stufe zusammengefasst werden. 1.2 Arten des Penetrationstests Sie haben nun ein grundlegendes Verständnis der sieben PTES-Kategorien erlangt, daher wollen wir im Folgenden die zwei wichtigsten Arten des Penetrationstests betrachten: offen und verdeckt. Ein offener Pentest, auch als»white- Box«-Test bezeichnet, geschieht mit vollem Wissen und Einverständnis der Organisation. Verdeckte Tests (»Black-Box«-Test) sind hingegen darauf ausgelegt, die Handlungen eines unbekannten und unangekündigten Angreifers zu simulieren. Jede dieser Testmethoden bietet Vor- und Nachteile Offene Penetrationstests Im Falle eines offenen Penetrationstests arbeiten Sie mit dem Unternehmen zusammen, um potenzielle Sicherheitsbedrohungen aufzuspüren. Die IT des Unternehmens oder die Arbeitsgruppe für Sicherheit zeigt Ihnen die vorhandenen Systeme. Der wesentliche Vorteil eines offenen Tests besteht darin, dass Sie Zugang zu Insiderwissen erhalten und Angriffe starten können, ohne dabei befürchten zu müssen, blockiert zu werden. Eine potenzielle Kehrseite offener Tests ist, dass diese die Vorfallsbehandlung des Klienten möglicherweise nicht sonderlich effektiv prüfen bzw. nur bedingt aufzeigen, wie erfolgreich das Sicherheitskonzept bestimmte Angriffe erkennt. Falls nur ein begrenzter Zeitrahmen zur Verfügung steht und einige PTES-Phasen wie die Informationsbeschaffung undurchführbar sind, kann ein offener Test sehr wohl die erste Wahl sein. 31

7 Kapitel 1 Grundlagen des Penetrationstests Verdeckte Penetrationstests Im Gegensatz zu offenen Tests sind genehmigte verdeckte Penetrationstests dazu gedacht, die Handlungen eines Angreifers zu simulieren und werden ohne Wissen weiter Teile des Unternehmens durchgeführt. Verdeckte Tests werden ausgeführt, um die Fähigkeit der internen Arbeitsgruppe für Sicherheit zu überprüfen, einen Angriff zu erkennen und auf diesen zu reagieren. Derartige Tests können aufwendig und zeitraubend sein und erfordern eingehendere Fachkenntnisse als offene Tests. Aus der Sicht eines Penetrationstesters in der Sicherheitsbranche ist das verdeckte Szenario oftmals vorzuziehen, weil hier ein echter Angriff am genauesten vorgetäuscht wird. Bei verdeckten Angriffen kommt Ihre Fähigkeit zum Tragen, durch Auskundschaften an Informationen zu gelangen. Aus diesem Grund werden Sie als verdeckter Tester typischerweise nicht versuchen, möglichst viele Schwachstellen eines Angriffsziels aufzuspüren, sondern sich lediglich darum bemühen, den einfachsten Weg zu finden, um Zugriff auf das System zu erhalten und zwar unbemerkt. 1.3 Schwachstellenscanner Schwachstellenscanner sind automatisierte Werkzeuge, die es ermöglichen, Sicherheitslücken ausfindig zu machen, von denen ein gegebenes System bzw. Programm betroffen ist. Typischerweise verwenden Schwachstellenscanner ein»fingerprinting«vom Betriebssystem des Angriffsziels (d.h. die Bestimmung von Version und Typ) sowie zur Erkennung sämtlicher aktiver Dienste. Sobald das Betriebssystem des Angriffsziels erkannt ist, bedienen Sie sich des Schwachstellenscanners, um einzelne Tests durchzuführen und festzustellen, ob Schwachstellen existieren. Diese Tests sind natürlich nur so gut wie ihre Programmierer und können wie jede automatisierte Lösung manchmal Schwachstellen eines Systems übersehen oder diese fehlerhaft darstellen. Die meisten modernen Schwachstellenscanner leisten bei der Minimierung falsch positiver Erkennungen erstaunlich gute Arbeit. Viele Organisationen nutzen Schwachstellenscanner zum Aufspüren veralteter Systeme oder potenzieller neuer Sicherheitslücken, die von Angreifern ausgenutzt werden könnten. Schwachstellenscanner spielen beim Penetrationstest eine sehr wichtige Rolle, insbesondere im Falle offener Tests, die vielerlei Angriffe erlauben, ohne dass man sich Gedanken darüber machen müsste, wie man einer Entdeckung entgehen kann. Die mithilfe des Schwachstellenscanners zusammengetragene Wissensfülle kann von unschätzbarem Wert sein, aber hüten Sie sich davor, sich zu sehr darauf zu verlassen. Das Schöne an Penetrationstests ist, dass sie sich nicht automatisieren lassen und ein erfolgreicher Angriff auf ein System Ihr Expertenwissen und Ihre Fachkenntnisse verlangt. Wenn Sie zu einem erfahrenen Penetrationstester 32

8 1.4 Auf den Punkt gebracht geworden sind, werden Sie einen Schwachstellenscanner nur in den seltensten Fällen einsetzen und stattdessen auf Ihre Expertise und Ihr Fachwissen vertrauen, um ein System zu kompromittieren. 1.4 Auf den Punkt gebracht Falls Penetrationstests für Sie Neuland sind oder Sie noch keine formale Methode übernommen haben, beschäftigen Sie sich mit dem PTES. Bei der Durchführung eines Penetrationstests müssen Sie wie bei jedem Experiment sicherstellen, dass dieser Prozess präzise und anpassungsfähig ist, aber auch wiederholbar. Als Penetrationstester müssen Sie gewährleisten, dass sowohl die Informationsbeschaffung als auch die Schwachstellenanalyse so fachmännisch wie möglich erfolgen, damit Sie über einen Vorsprung verfügen, wenn Sie sich in einen neu zutage getretenen Anwendungsfall einarbeiten. 33

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni. Metasploit. Übersetzung aus dem amerikanischen Englisch von Knut Lorenzen.

David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni. Metasploit. Übersetzung aus dem amerikanischen Englisch von Knut Lorenzen. David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni Metasploit Übersetzung aus dem amerikanischen Englisch von Knut Lorenzen mitp haltsverzeichnis Geleitwort von HD Moore 13 Vorwort 17 Einführung 21

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick

IT-Schwachstellenampel: Produktsicherheit auf einen Blick Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1 Aktuelle Lage 2 Bedrohungen für

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ IT-SECURITY-FORUM: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ 1 Aktuelle Lage 2 Bedrohungen für Unternehmen Welche Folgen können für Sie aus Datenpannen

Mehr

Agile Software Verteilung

Agile Software Verteilung Agile Software Verteilung Vortrag: René Steg Steg IT-Engineering, Zürich (Schweiz) Gründe für Agile Software-Verteilung Wenn Sie Hunderte von Servern mit vielen Anwendungen betreiben Verteilte Anwendungen

Mehr

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke 1 Testen von System- & Netzwerksicherheit 2 Gliederung Sicherheit im Allgemeinen Testbereiche Methodik und Standards Hilfsmittel im Speziellen nessus nmap Szenario im praktischen Teil 3 Fragen zur Sicherheit

Mehr

SCHWACHSTELLE MENSCH

SCHWACHSTELLE MENSCH KAPITEL 2: SICHERHEIT BEGINNT UND ENDET BEIM BENUTZER SCHWACHSTELLE MENSCH 1 SCHWACHSTELLE MENSCH 2014 hat die NTT Group Millionen von Sieben der zehn häufigsten Sicherheitslücken auf Kundensystemen Sicherheitslücken

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

McAfee Security-as-a-Service -

McAfee Security-as-a-Service - Handbuch mit Lösungen zur Fehlerbehebung McAfee Security-as-a-Service - Zur Verwendung mit der epolicy Orchestrator 4.6.0-Software Dieses Handbuch bietet zusätzliche Informationen zur Installation und

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Ändern von IP Adressen beim ISA Server (intern/extern)

Ändern von IP Adressen beim ISA Server (intern/extern) Ändern von IP Adressen beim ISA Server (intern/extern) Version: 1.0 / 25.12.2003 Die in diesem Whitepaper enthaltenen Informationen stellen die behandelten Themen aus der Sicht von Dieter Rauscher zum

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

QUICK-CHECK IT-SICHERHEIT

QUICK-CHECK IT-SICHERHEIT QUICK-CHECK IT-SICHERHEIT Systeme fachkundig überprüfen lassen? Die Führung eines Unternehmens ist für dessen reibungslosen Ablauf verantwortlich. IT-Systeme spielen dabei eine wichtige Rolle. Im digitalen

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Schritt 1: Schulung vorbereiten

Schritt 1: Schulung vorbereiten Themen auswählen Jede Ausbildung am Arbeitsplatz sollte gründlich vorbereitet werden. Je besser die Vorbereitung, desto erfolgreicher wird die Schulung selbst sein. Außerdem hat die Vorbereitung auch die

Mehr

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de POLIZEI Hamburg Wir informieren www.polizei.hamburg.de Online-Sicherheit Die Nutzung des Internet ist für die meisten von uns heute selbstverständlich. Leider fehlt es vielen Nutzerinnen und Nutzern allerdings

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 08. Dezember 2006 Laptop: Tragbarer, zeitweilig netzunabhängiger Computer mit einem klappbaren,

Mehr

Nachtrag zur Dokumentation

Nachtrag zur Dokumentation Nachtrag zur Dokumentation Zone Labs-Sicherheitssoftware Version 6.5 Dieses Dokument behandelt neue Funktionen und Dokumentaktualisierungen, die nicht in die lokalisierten Versionen der Online-Hilfe und

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

Anleitung zur Entfernung von Schadsoftware

Anleitung zur Entfernung von Schadsoftware Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan Bund ISB Melde- und Analysestelle Informationssicherung MELANI GovCERT.ch Anleitung zur Entfernung von Schadsoftware MELANI / GovCERT.ch

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2009: Vergleich Fehlerbaum und Angriffsbaum 7.1 Fehlerbaum Erstellen Sie eine Fehlerbaum (Fault Tree Analysis) zu dem Fehlerereignis "mangelnde Verfügbarkeit

Mehr

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH 6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen

Mehr

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1 Arbeitsblätter Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685 Aufgaben Kapitel 1 1. Sie betreuen die Clients in Ihrer Firma. Es handelt sich um Windows 7 Rechner in einer Active Momentan

Mehr

Solidpro Support- Richtlinien

Solidpro Support- Richtlinien Solidpro Support- Richtlinien Inhalt Support-Anfrage 2 Online-Übermittlung 2 Telefonische Übermittlung 4 Eskalation 5 Eskalation Erste Schritte 5 Wann und wie eskaliere ich eine Support-Anfrage? 5 Welche

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1 IT-Sicherheit Vortrag am 06.06.2002 in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer 16.01.2006 IT-Sicherheit 1 Literatur O. Kyas, M. a Campo, IT-Crackdown

Mehr

Überlegungen zur Struktur eines Schulnetzes

Überlegungen zur Struktur eines Schulnetzes Überlegungen zur Struktur eines Schulnetzes Kurzbeschreibung Viele Schulen arbeiten heute mit einem Computernetzwerk, das unterschiedlichen Anforderungen genügen muss. Bereits durch eine entsprechende

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

JobServer Installationsanleitung 08.05.2013

JobServer Installationsanleitung 08.05.2013 JobServer sanleitung 08.05.2013 Der JobServer ist ein WCF Dienst zum Hosten von Workflow Prozessen auf Basis der Windows Workflow Foundation. Für die wird das Microsoft.NET Framework 3.5 und 4.0 vorausgesetzt.

Mehr

IT-SECURITY. Detect. Act. Protect.

IT-SECURITY. Detect. Act. Protect. Oktober 2015 IT-SECURITY Detect. Act. Protect. Security-Plattform für SAP 360 0 Sicherheit EDR-Technologie Security, die mitdenkt IT Blackout Deep Security Sicherung privilegierter Benutzerkonten Assessment

Mehr

Technische Mitteilung. Nutzung von Oracle für die VIP CM Suite 8 Offene Cursor

Technische Mitteilung. Nutzung von Oracle für die VIP CM Suite 8 Offene Cursor Technische Mitteilung Nutzung von Oracle für die VIP CM Suite 8 Offene Cursor Informationen zum Dokument Kurzbeschreibung Dieses Dokument gibt Hinweise zur Konfiguration des RDBMS Oracle und von VIP ContentManager

Mehr

Lagebild Cyber-Sicherheit

Lagebild Cyber-Sicherheit Lagebild Cyber-Sicherheit Dr. Hartmut Isselhorst Bundesamt für Sicherheit in der Informationstechnik Hannover, 5. März 2013 Zahlen und Fakten Schwachstellen 5.257 neue Schwachstellen in 2012 = 100 pro

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

Installationsanleitung. Installieren Sie an PC1 CESIO-Ladedaten einschl. dem Firebird Datenbankserver, wie in der Anleitung beschrieben.

Installationsanleitung. Installieren Sie an PC1 CESIO-Ladedaten einschl. dem Firebird Datenbankserver, wie in der Anleitung beschrieben. Technische Dokumentation CESIO-Ladedaten im Netzwerk Installationsanleitung Für jeden PC brauchen Sie dazu zunächst einmal eine Lizenz. Dann gehen Sie so vor: Installieren Sie an PC1 CESIO-Ladedaten einschl.

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Bevor ein Angreifer in ein System eindringen kann, muss er sich Informationen über dieses System beschaffen. Er muss wissen, welche Ports offen sind,

Mehr

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung!

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! IBS - Smart Repair Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! Festpreis (Nach individueller Bedarfsanalyse) www.ibs-schreiber.de IBS

Mehr

Penetration Test Zielsetzung & Methodik

Penetration Test Zielsetzung & Methodik Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen

Mehr

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit mobilen Geräten Mobilkommunikation Vorwort Mobilkommunikation Basisschutz leicht

Mehr

Registrierung und Inbetriebnahme der UTM-Funktionen

Registrierung und Inbetriebnahme der UTM-Funktionen Registrierung und Inbetriebnahme der UTM-Funktionen Registrierung der USG Bevor einzelne UTM-Dienste aktiviert werden können, muss das Device in einem MyZyXEL-Account registriert werden. Die Registrierung

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen

Mehr

Zehn Tipps, wie Ihnen Online-Befragungen im HR-Bereich helfen können

Zehn Tipps, wie Ihnen Online-Befragungen im HR-Bereich helfen können Zehn Tipps, wie Ihnen Online-Befragungen im HR-Bereich helfen können Zufriedene Mitarbeiter fühlen sich dem Unternehmen verbunden HR-Manager müssen ihr Unternehmen in- und auswendig kennen: die Firmenkultur,

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

1 Konto für HBCI/FinTS mit Chipkarte einrichten

1 Konto für HBCI/FinTS mit Chipkarte einrichten 1 Konto für HBCI/FinTS mit Chipkarte einrichten Um das Verfahren HBCI/FinTS mit Chipkarte einzusetzen, benötigen Sie einen Chipkartenleser und eine Chipkarte. Die Chipkarte erhalten Sie von Ihrem Kreditinstitut.

Mehr

7 Tipps zur Durchführung von Usability-Tests

7 Tipps zur Durchführung von Usability-Tests Whitepaper 02 von Usability-Tests 7 Tipps Wenn Sie für die Durchführung nicht auf eine externe Agentur zurückgreifen, sondern diese selbst durchführen möchten, sollten Sie die Grundzüge kennen. Nur so

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

Wichtige Informationen für Ihr Webinar mit Simplex Live

Wichtige Informationen für Ihr Webinar mit Simplex Live Wichtige Informationen für Ihr Webinar mit Simplex Live Vielen Dank, dass Sie sich für ein Webinar mit Simplex Live entschieden haben. Ihr Webinar ist eine Live-Veranstaltung und daher ist Ihre Mithilfe

Mehr

ISA Server 2004 - Best Practice Analyzer

ISA Server 2004 - Best Practice Analyzer ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit Dirk Häger Bundesamt für Sicherheit in der Informationstechnik Bonn, 13. November 2012 1 Nationales CyberSicherheitsprogramm (BSI) Folie aus 2011 Ziele: die Risiken des Cyber-Raums

Mehr

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger.

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger. Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik www.bsi-fuer-buerger.de MOBILKOMMUNIKATION VORWORT Mobilkommunikation Basisschutz leicht

Mehr

8 Netz. 8.1 WLAN Konfiguration für Windows. 8.1.1 Installation von SecureW2 unter Windows XP und Vista. Konfiguration von SecureW2 unter Windows XP

8 Netz. 8.1 WLAN Konfiguration für Windows. 8.1.1 Installation von SecureW2 unter Windows XP und Vista. Konfiguration von SecureW2 unter Windows XP 8 Netz 8.1 WLAN Konfiguration für Windows 8.1.1 Installation von SecureW2 unter Windows XP und Vista Um eine Verbindung zum Netz der Hochschule für Bildende Künste Braunschweig über WLAN herstellen zu

Mehr

Mehr Geld verdienen! Lesen Sie... Peter von Karst. Ihre Leseprobe. der schlüssel zum leben. So gehen Sie konkret vor!

Mehr Geld verdienen! Lesen Sie... Peter von Karst. Ihre Leseprobe. der schlüssel zum leben. So gehen Sie konkret vor! Peter von Karst Mehr Geld verdienen! So gehen Sie konkret vor! Ihre Leseprobe Lesen Sie...... wie Sie mit wenigen, aber effektiven Schritten Ihre gesteckten Ziele erreichen.... wie Sie die richtigen Entscheidungen

Mehr

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren

Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren Eine Million Kundendaten gestohlen - Aktuelle Fälle von Datendiebstahl und wie sie grundsätzlich funktionieren patrick.hof@redteam-pentesting.de http://www.redteam-pentesting.de netzwerk recherche 01./02.

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Replikation mit TeraStation 3000/4000/5000/7000. Buffalo Technology

Replikation mit TeraStation 3000/4000/5000/7000. Buffalo Technology Replikation mit TeraStation 3000/4000/5000/7000 Buffalo Technology Einführung Durch Replikation wird ein Ordner in zwei separaten TeraStations fast in Echtzeit synchronisiert. Dies geschieht nur in einer

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

CDN services sicherheit. Deutsche Telekom AG

CDN services sicherheit. Deutsche Telekom AG CDN services sicherheit Deutsche Telekom AG International Carrier Sales and Solutions (ICSS) CDN Services Sicherheit Sichere und stets verfügbare Websites Integriert und immer verfügbar Dank der Cloud-/Edge-basierten

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

Personalentwicklung wenn nicht jetzt, wann dann?

Personalentwicklung wenn nicht jetzt, wann dann? Personalentwicklung wenn nicht jetzt, wann dann? Jetzt die Potenziale Ihrer Mitarbeiter erkennen, nutzen und fördern ein Beitrag von Rainer Billmaier Personalentwicklung ist alles andere als ein Kostenfaktor

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr