David Kennedy. Jim O Gorman. Devon Kearns. Mati Aharoni. Metasploit. Die Kunst des Penetration Testing

Größe: px
Ab Seite anzeigen:

Download "David Kennedy. Jim O Gorman. Devon Kearns. Mati Aharoni. Metasploit. Die Kunst des Penetration Testing"

Transkript

1 David Kennedy Jim O Gorman Devon Kearns Mati Aharoni Metasploit Die Kunst des Penetration Testing

2 Kapitel 1 Grundlagen des Penetrationstests Penetrationstests ermöglichen es, Methoden zu simulieren, die ein Angreifer benutzen könnte, um Sicherheitskontrollen zu umgehen und damit Zugriff auf schützenswerte Systeme zu erlangen. Ein echter Penetrationstest besteht aus weit mehr als nur dem Starten irgendwelcher Scannerprogramme und/oder automatisch laufender Instrumente und dem anschließenden Schreiben eines Berichts. Man wird auch nicht von heute auf morgen ein Experte als Penetrationstester. Es bedarf jahrelanger Erfahrung und Praxis, um wirklich sachkundig zu werden. Derzeit verändert sich die Art und Weise, wie Penetrationstests von der Sicherheitsbranche wahrgenommen werden. Der PTES (Penetration Testing Execution Standard) hat den Penetrationstest neu definiert und davon sind nicht nur neue, sondern auch erfahrene Penetrationstester betroffen. Führende Mitglieder der Sicherheitsgemeinschaft haben diesen Standard bereits übernommen. Ziel ist es, festzulegen und ein Bewusstsein dafür zu schaffen, was einen echten Penetrationstest ausmacht, und zwar durch den Beschluss einer Richtlinie mit grundlegenden Prinzipien, die erforderlich sind, um einen Penetrationstest durchzuführen. Falls Penetrationstests für Sie Neuland sind oder Ihnen der PTES nicht vertraut ist, besuchen Sie die Website um mehr darüber zu erfahren. 1.1 Die PTES-Phasen Die PTES-Phasen dienen dazu, einen Penetrationstest genau zu beschreiben und für das Unternehmen des Klienten sicherzustellen, dass sich alle involvierten Sicherheitsexperten an einen vorgegebenen Standard halten. Dieser Standard ist in sieben Kategorien unterteilt, die in Abhängigkeit von dem betroffenen Unternehmen unterschiedlich hohen Arbeitsaufwand erfordern Vorbereitungsphase In der Vorbereitungsphase findet eine Absprache mit dem Klienten statt, um den Umfang und die Bedingungen des Penetrationstests festzulegen. Dabei ist es von entscheidender Bedeutung, dass Sie das Ziel der ganzen Aktion vermitteln. Hier bietet sich auch eine gute Gelegenheit, dem Kunden zu erläutern, was von einem gründlichen, umfassenden Penetrationstest zu erwarten ist, wenn dieser ohne Beschränkungen durchgeführt wird. 27

3 Kapitel 1 Grundlagen des Penetrationstests Informationsbeschaffung Während der Informationsbeschaffungsphase sammeln Sie sämtliche Informationen über das Unternehmen, derer Sie habhaft werden können. Nutzen Sie dazu soziale Medien und Netzwerke, Google-Hacking,»Footprinting«(das Zusammentragen öffentlich verfügbarer Daten über das Angriffsziel) usw. Die Fähigkeit, etwas über ein Angriffsziel in Erfahrung zu bringen, ist eine der wichtigsten Kompetenzen eines Penetrationstesters. Wie verhält sich das Ziel? Wie reagiert es auf bestimmte Vorkommnisse? Und nicht zuletzt: Wo ist es angreifbar? Die hier gewonnenen Informationen liefern bereits wertvolle Erkenntnisse über die vorhandenen Sicherheitsmaßnahmen. Im Rahmen der Informationsbeschaffung versuchen Sie herauszufinden, welche Schutzmechanismen eingerichtet sind, indem Sie allmählich mit der Erkundung der Systeme beginnen. Beispielsweise gestatten viele Unternehmen Datenverkehr auf extern zugänglichen Geräten nur auf einigen wenigen Ports. Wenn Sie einen Port anfragen, der nicht auf der Positivliste steht, werden Sie abgeblockt. Es ist überhaupt eine gute Idee, das genaue Verhalten zunächst von einer entbehrlichen IP-Adresse aus zu überprüfen, deren Blockierung oder Entdeckung tragbar ist. Gleiches gilt für das Testen von Webapplikationen, deren Firewalls Sie nach dem Überschreiten eines Schwellwerts für weitere Abfragen sperren. Um bei dieser Art von Test unentdeckt zu bleiben, sollten Sie die anfänglichen Scans von einem IP-Adressbereich aus durchführen, den man nicht mit Ihnen oder Ihrem Team in Verbindung bringen kann. Unternehmen mit direkter Internetanbindung werden typischerweise täglich angegriffen und so werden Ihre Sondierungen wahrscheinlich zu einem nicht weiter beachteten Teil des Hintergrundrauschens. Hinweis In manchen Fällen kann es sinnvoll sein, sehr auffällige Scans von einem völlig anderen IP-Bereich aus durchzuführen, als demjenigen, den Sie für den eigentlichen Angriff benutzen wollen. Das kann Ihnen auch dabei helfen, zu beurteilen, wie das Unternehmen auf die bereits verwendeten Programme reagiert Threat Modeling Das Threat Modeling (»Bedrohungs-Modellierung«) verwendet die während der Informationsbeschaffungsphase erarbeiteten Daten, um alle vorhandenen Schwachstellen eines Zielsystems aufzudecken. Hierbei wird festgelegt, welche die wirksamste Angriffsmethode ist, welche Art von Informationen gesucht wird und auf welche Weise das Unternehmen angegriffen werden könnte. Threat Modeling bedeutet auch, das Unternehmen als einen Gegenspieler wahrzunehmen und zu versuchen, Schwächen auszunutzen ebenso, wie es ein echter Angreifer täte. 28

4 1.1 Die PTES-Phasen Schwachstellenanalyse Nach Bestimmung der aussichtsreichsten Angriffsmethode müssen Sie erwägen, wie Sie auf das Angriffsziel zugreifen. Bei der Schwachstellenanalyse werden Informationen der vorhergehenden Phasen kombiniert, um zu entscheiden, welche Art von Angriff praktikabel sein könnte. Dabei werden unter anderem Port- und Schwachstellenscans, beim Banner Grabbing (dem Zusammentragen von Informationen aus Status-, Fehler- und Systemmeldungen verschiedener Dienste) erhaltene Daten sowie Resultate der Informationsbeschaffung berücksichtigt Rechnerübernahme Die Übernahme eines Systems (engl. Exploitation) ist vermutlich einer der glanzvollsten Aspekte eines Penetrationstests, obwohl sie oft mittels roher Gewalt statt durch Präzision erreicht wird. Ein Exploit sollte nur dann ausgeführt werden, wenn Sie auch nicht den Hauch eines Zweifels daran haben, dass diese spezielle Übernahme erfolgreich sein wird. Es ist natürlich immer möglich, dass auf dem Angriffsziel unvorhergesehene Schutzmaßnahmen getroffen wurden, die das Funktionieren eines bestimmten Exploits verhindern aber bevor Sie auf eine bestimmte Schwachstelle abzielen, sollten Sie auch wirklich wissen, dass das System dafür anfällig ist. Blindlings einen Massenansturm von Exploits abzufeuern und flehentlich auf eine Shell zu hoffen, ist kontraproduktiv: Es ist auffällig und bringt Ihnen als Penetrationstester und Ihrem Klienten wenig oder gar keinen Nutzen. Machen Sie zunächst Ihre Hausaufgaben und starten Sie danach wohldurchdachte Exploits, die aller Voraussicht nach auch Aussicht auf Erfolg haben Nach der Übernahme Diese Phase beginnt, nachdem Sie eines oder mehrere der angegriffenen Systeme kompromittiert haben Sie sind aber noch weit davon entfernt, fertig zu sein. Das Stadium nach der Übernahme ist wesentlicher Bestandteil eines Penetrationstests. Hier unterscheiden Sie sich vom durchschnittlichen Feld-Wald-und-Wiesen- Hacker und liefern durch Ihren Penetrationstest sogar wertvolle Informationen und Erkenntnisse. In dieser Stufe werden einzelne Systeme gezielt ins Visier genommen, kritische Infrastrukturen ausfindig gemacht und Informationen und Daten ins Auge gefasst, die das Unternehmen besonders wertschätzt und die es zu schützen versucht hat. Erschließen Sie sich nun ein System nach dem anderen und versuchen Sie, Angriffe aufzuzeigen, die den größten Einfluss auf den Geschäftsbetrieb hätten. Wenn Sie Systeme nach der Übernahme angreifen, sollten Sie sich die Zeit nehmen, um herauszufinden, was genau die verschiedenen Systeme leisten und was deren Benutzerrollen sind. Nehmen wir beispielsweise an, Sie kompromittieren 29

5 Kapitel 1 Grundlagen des Penetrationstests ein System der Domäneninfrastruktur und erlangen die Rechte eines Domänenadministrators. Sie mögen nun zwar Herrscher über die Domäne sein, aber was ist mit den Systemen, die sich mit Active Directory in Verbindung setzen? Was ist mit der Hauptfinanzanwendung, die für die Bezahlung der Mitarbeiter eingesetzt wird? Könnten Sie das System kompromittieren und beim nächsten Lohnbuchungsdurchlauf das ganze Geld des Unternehmens auf ein ausländisches Konto transferieren? Wie steht es um das geistige Eigentum von auf dem Angriffsziel befindlichen Inhalten? Angenommen, Ihr Klient ist ein großer Betrieb, der Software entwickelt und seinen Mandanten kundenspezifische Applikationen liefert, die in Produktionsumgebungen eingesetzt werden. Wäre es möglich, durch das Hintertürchen an den Quellcode zu gelangen und im Grunde alle Kunden des Klienten zu kompromittieren? Welchen Schaden würde das in Bezug auf die Vertrauenswürdigkeit des Produkts anrichten? Es handelt sich hierbei um eines dieser komplizierten Szenarien, für die Sie sich Zeit nehmen müssen, um in Erfahrung zu bringen, welche Informationen verfügbar sind und wie Sie diese Informationen dann zu Ihrem Vorteil einsetzen können. Um genau das zu tun, wird sich ein Angreifer gewöhnlich für eine geraume Zeit mit einem kompromittierten System beschäftigen. Denken Sie wie ein bösartiger Angreifer, seien Sie wandlungsfähig und vertrauen Sie auf Ihren Verstand, nicht auf automatisierte Instrumente Berichterstattung Die Berichterstattung ist mit Abstand der wichtigste Bestandteil eines Penetrationstests. Sie werden in Ihren Berichten darlegen, was Sie getan haben, wie Sie es getan haben und, was am wichtigsten ist, wie das Unternehmen die während des Penetrationstests aufgedeckten Schwachstellen beheben sollte. Dass Sie bei einem Penetrationstest den Standpunkt eines Angreifers vertreten, nimmt kaum ein Unternehmen richtig wahr. Die Informationen, die Sie während eines Tests gewinnen, sind unverzichtbar für den Erfolg des Sicherheitsprogramms und die Abwehr künftiger Angriffe. Überlegen Sie beim Zusammenstellen Ihres Untersuchungsergebnisses, wie das Unternehmen Ihre Resultate dazu nutzen kann, ein höheres Problembewusstsein zu schaffen, aufgedeckte Schwierigkeiten zu beseitigen und die Sicherheit insgesamt zu erhöhen, anstatt nur die technischen Schwachstellen auszubessern. Sie sollten Ihren Bericht zumindest in einer Kurzfassung, einer Version für die Führungsebene und als technischen Befund formulieren. Der technische Befund dient dem Klienten in erster Linie zur Beseitigung der Sicherheitslücken, darüber hinaus finden sich darin jedoch noch weitere Nutzeffekte eines Penetrationstests. Falls Sie beispielsweise in einer Webanwendung des Klienten eine Anfälligkeit für 30

6 1.2 Arten des Penetrationstests SQL-Injektionen entdecken, könnten Sie empfehlen, sämtliche Benutzereingaben zu bereinigen, parametrisierte SQL-Abfragen (die SQL-Injektionen verhindern) durchzusetzen, die SQL-Datenbank mit eingeschränkten Rechten laufen zu lassen und maßgefertigte Fehlermeldungen zu erlauben. Anschließend werden Ihre Empfehlungen implementiert und das benannte Problem mit der SQL-Injektion wird ebenfalls behoben. Aber ist der Klient nun vor SQL-Injektionen geschützt? Natürlich nicht. Möglicherweise hat ursprünglich ein tiefer liegendes Problem die SQL-Injektions-Schwachstelle verursacht, etwa, dass nicht geprüft wurde, ob Anwendungen von Drittherstellern sicher sind. Diese müssen ggf. auch korrigiert werden. Hinweis Anm. d. Ü.: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hier einen sehr ähnlichen, fünfstufigen Prozess. Der Unterschied besteht im Wesentlichen darin, dass Schwachstellenanalyse, Übernahme und die Phase nach der Übernahme als eine einzige Stufe zusammengefasst werden. 1.2 Arten des Penetrationstests Sie haben nun ein grundlegendes Verständnis der sieben PTES-Kategorien erlangt, daher wollen wir im Folgenden die zwei wichtigsten Arten des Penetrationstests betrachten: offen und verdeckt. Ein offener Pentest, auch als»white- Box«-Test bezeichnet, geschieht mit vollem Wissen und Einverständnis der Organisation. Verdeckte Tests (»Black-Box«-Test) sind hingegen darauf ausgelegt, die Handlungen eines unbekannten und unangekündigten Angreifers zu simulieren. Jede dieser Testmethoden bietet Vor- und Nachteile Offene Penetrationstests Im Falle eines offenen Penetrationstests arbeiten Sie mit dem Unternehmen zusammen, um potenzielle Sicherheitsbedrohungen aufzuspüren. Die IT des Unternehmens oder die Arbeitsgruppe für Sicherheit zeigt Ihnen die vorhandenen Systeme. Der wesentliche Vorteil eines offenen Tests besteht darin, dass Sie Zugang zu Insiderwissen erhalten und Angriffe starten können, ohne dabei befürchten zu müssen, blockiert zu werden. Eine potenzielle Kehrseite offener Tests ist, dass diese die Vorfallsbehandlung des Klienten möglicherweise nicht sonderlich effektiv prüfen bzw. nur bedingt aufzeigen, wie erfolgreich das Sicherheitskonzept bestimmte Angriffe erkennt. Falls nur ein begrenzter Zeitrahmen zur Verfügung steht und einige PTES-Phasen wie die Informationsbeschaffung undurchführbar sind, kann ein offener Test sehr wohl die erste Wahl sein. 31

7 Kapitel 1 Grundlagen des Penetrationstests Verdeckte Penetrationstests Im Gegensatz zu offenen Tests sind genehmigte verdeckte Penetrationstests dazu gedacht, die Handlungen eines Angreifers zu simulieren und werden ohne Wissen weiter Teile des Unternehmens durchgeführt. Verdeckte Tests werden ausgeführt, um die Fähigkeit der internen Arbeitsgruppe für Sicherheit zu überprüfen, einen Angriff zu erkennen und auf diesen zu reagieren. Derartige Tests können aufwendig und zeitraubend sein und erfordern eingehendere Fachkenntnisse als offene Tests. Aus der Sicht eines Penetrationstesters in der Sicherheitsbranche ist das verdeckte Szenario oftmals vorzuziehen, weil hier ein echter Angriff am genauesten vorgetäuscht wird. Bei verdeckten Angriffen kommt Ihre Fähigkeit zum Tragen, durch Auskundschaften an Informationen zu gelangen. Aus diesem Grund werden Sie als verdeckter Tester typischerweise nicht versuchen, möglichst viele Schwachstellen eines Angriffsziels aufzuspüren, sondern sich lediglich darum bemühen, den einfachsten Weg zu finden, um Zugriff auf das System zu erhalten und zwar unbemerkt. 1.3 Schwachstellenscanner Schwachstellenscanner sind automatisierte Werkzeuge, die es ermöglichen, Sicherheitslücken ausfindig zu machen, von denen ein gegebenes System bzw. Programm betroffen ist. Typischerweise verwenden Schwachstellenscanner ein»fingerprinting«vom Betriebssystem des Angriffsziels (d.h. die Bestimmung von Version und Typ) sowie zur Erkennung sämtlicher aktiver Dienste. Sobald das Betriebssystem des Angriffsziels erkannt ist, bedienen Sie sich des Schwachstellenscanners, um einzelne Tests durchzuführen und festzustellen, ob Schwachstellen existieren. Diese Tests sind natürlich nur so gut wie ihre Programmierer und können wie jede automatisierte Lösung manchmal Schwachstellen eines Systems übersehen oder diese fehlerhaft darstellen. Die meisten modernen Schwachstellenscanner leisten bei der Minimierung falsch positiver Erkennungen erstaunlich gute Arbeit. Viele Organisationen nutzen Schwachstellenscanner zum Aufspüren veralteter Systeme oder potenzieller neuer Sicherheitslücken, die von Angreifern ausgenutzt werden könnten. Schwachstellenscanner spielen beim Penetrationstest eine sehr wichtige Rolle, insbesondere im Falle offener Tests, die vielerlei Angriffe erlauben, ohne dass man sich Gedanken darüber machen müsste, wie man einer Entdeckung entgehen kann. Die mithilfe des Schwachstellenscanners zusammengetragene Wissensfülle kann von unschätzbarem Wert sein, aber hüten Sie sich davor, sich zu sehr darauf zu verlassen. Das Schöne an Penetrationstests ist, dass sie sich nicht automatisieren lassen und ein erfolgreicher Angriff auf ein System Ihr Expertenwissen und Ihre Fachkenntnisse verlangt. Wenn Sie zu einem erfahrenen Penetrationstester 32

8 1.4 Auf den Punkt gebracht geworden sind, werden Sie einen Schwachstellenscanner nur in den seltensten Fällen einsetzen und stattdessen auf Ihre Expertise und Ihr Fachwissen vertrauen, um ein System zu kompromittieren. 1.4 Auf den Punkt gebracht Falls Penetrationstests für Sie Neuland sind oder Sie noch keine formale Methode übernommen haben, beschäftigen Sie sich mit dem PTES. Bei der Durchführung eines Penetrationstests müssen Sie wie bei jedem Experiment sicherstellen, dass dieser Prozess präzise und anpassungsfähig ist, aber auch wiederholbar. Als Penetrationstester müssen Sie gewährleisten, dass sowohl die Informationsbeschaffung als auch die Schwachstellenanalyse so fachmännisch wie möglich erfolgen, damit Sie über einen Vorsprung verfügen, wenn Sie sich in einen neu zutage getretenen Anwendungsfall einarbeiten. 33

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke 1 Testen von System- & Netzwerksicherheit 2 Gliederung Sicherheit im Allgemeinen Testbereiche Methodik und Standards Hilfsmittel im Speziellen nessus nmap Szenario im praktischen Teil 3 Fragen zur Sicherheit

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Die verschiedenen Arten von Cyberangriffen. und wie Sie diese abwehren können

Die verschiedenen Arten von Cyberangriffen. und wie Sie diese abwehren können Die verschiedenen Arten von Cyberangriffen und wie Sie diese abwehren können Einführung Die Cyberkriminellen von heute wenden verschiedene komplexe Techniken an, um beim Eindringen in Unternehmensnetzwerke

Mehr

Penetration Testing. Die Vorsorgeuntersuchung für Ihre IT-Sicherheit. Hamburg/Osnabrück/Bremen 18./25./26. November 2014.

Penetration Testing. Die Vorsorgeuntersuchung für Ihre IT-Sicherheit. Hamburg/Osnabrück/Bremen 18./25./26. November 2014. Penetration Testing Die Vorsorgeuntersuchung für Ihre IT-Sicherheit Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Tim Kohnen Agenda 1. Überblick zu Forensischen Leistungen 2. Was ist Penetration Testing?

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

SCHWACHSTELLE MENSCH

SCHWACHSTELLE MENSCH KAPITEL 2: SICHERHEIT BEGINNT UND ENDET BEIM BENUTZER SCHWACHSTELLE MENSCH 1 SCHWACHSTELLE MENSCH 2014 hat die NTT Group Millionen von Sieben der zehn häufigsten Sicherheitslücken auf Kundensystemen Sicherheitslücken

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ IT-SECURITY-FORUM: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ 1 Aktuelle Lage 2 Bedrohungen für Unternehmen Welche Folgen können für Sie aus Datenpannen

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Web Application Security

Web Application Security Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

SAP Security Assessment und Live Hack in Ihrem Unternehmen

SAP Security Assessment und Live Hack in Ihrem Unternehmen SAP Security Assessment und Live Hack in Ihrem Unternehmen Halten Sie es für möglich, das man in 2 Stunden ein komplettes SAP-System kompromittieren kann? Wir halten es in 90% aller Fälle für möglich.

Mehr

McAfee Security-as-a-Service -

McAfee Security-as-a-Service - Handbuch mit Lösungen zur Fehlerbehebung McAfee Security-as-a-Service - Zur Verwendung mit der epolicy Orchestrator 4.6.0-Software Dieses Handbuch bietet zusätzliche Informationen zur Installation und

Mehr

1.1 Was ist das Metasploit-Framework?

1.1 Was ist das Metasploit-Framework? 1 Nach nur einem Tag war es den Angreifern gelungen, aktuelle personenbezogene Daten einzusehen, nach zwei Tagen hatten sie Zugriff auf die aktuellen und noch unveröffentlichten Ergebnisse der Entwicklungsabteilung,

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

KAPITEL 3: ABWEHRSTRATEGIE FÜNF WICHTIGE EMPFEHLUNGEN DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 3: ABWEHRSTRATEGIE FÜNF WICHTIGE EMPFEHLUNGEN DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 3: ABWEHRSTRATEGIE FÜNF WICHTIGE EMPFEHLUNGEN 1 FÜNF WICHTIGE EMPFEHLUNGEN FÜNF EMPFEHLUNGEN FÜR DEN UMGANG MIT SICHERHEITSVORFÄLLEN Im Jahr 2014 leistete die NTT Group Unterstützung bei der Eindämmung

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick

IT-Schwachstellenampel: Produktsicherheit auf einen Blick Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1 Aktuelle Lage 2 Bedrohungen für

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 08. Dezember 2006 Laptop: Tragbarer, zeitweilig netzunabhängiger Computer mit einem klappbaren,

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Was ist das Metasploit-Framework?............................. 2 1.2 Ziel des Buches............................................. 2 1.3 Wer sollte dieses Buch lesen?...................................

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

PENETRATIONSTEST. Whitepaper zur Durchführung von Penetrationstests durch die consectra GmbH. Dirk Haag

PENETRATIONSTEST. Whitepaper zur Durchführung von Penetrationstests durch die consectra GmbH. Dirk Haag PENETRATIONSTEST Whitepaper zur Durchführung von Penetrationstests durch die consectra GmbH Autoren: Anselm Rohrer Dirk Haag consectra GmbH Im Unteren Angel 13 77652 Offenburg http://www.consectra.de Whitepaper

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

Vulnerability Scanning + Penetration Testing

Vulnerability Scanning + Penetration Testing Vulnerability Scanning + Penetration Testing Seminar IT-Sicherheit Felix Riemann felixriemann@student.uni-kassel.de 29. Januar 2011 Gliederung Vulnerability Scanning Was ist das? Scanner Demo: Nessus Penetration

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

SICHERHEIT FÜR IHR BUSINESS

SICHERHEIT FÜR IHR BUSINESS IT MIT VOQUZ IST: SICHERHEIT FÜR IHR BUSINESS WEITER, IMMER WEITER. SO GEHT IT-SECURITY. Die andere Seite wird immer besser, also müssen wir es auch werden, um unseren Vorsprung zu halten. Dass Sicherheitsmaßnahmen

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

SICHERHEIT FÜR IHR BUSINESS

SICHERHEIT FÜR IHR BUSINESS IT MIT VOQUZ IST: SICHERHEIT FÜR IHR BUSINESS WEITER, IMMER WEITER. SO GEHT IT-SECURITY. WIR SEHEN DAS GANZE Die andere Seite wird immer besser, also müssen wir es auch werden, um unseren Vorsprung zu

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Bevor ein Angreifer in ein System eindringen kann, muss er sich Informationen über dieses System beschaffen. Er muss wissen, welche Ports offen sind,

Mehr

Sicher OHNE Virenscanner

Sicher OHNE Virenscanner Ralph Lehmann. IT-Sicherheitsanalyse und Beratung. Kochstraße 34. 04275 Leipzig Ralph Lehmann IT-Sicherheitsanalyse und Beratung Kochstraße 34 04275 Leipzig Ralph Lehmann IT-Sicherheitsanalyse und Beratung

Mehr

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Polizeipräsidium Mittelfranken Security by Design Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Referent: Matthias Wörner (MW IT-Businesspartner) gepr. IT Sachverständiger Matthias

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Web Security: Schützen Sie Ihre Daten in der Cloud

Web Security: Schützen Sie Ihre Daten in der Cloud Whitepaper Web Security: Schützen Sie Ihre Daten in der Cloud Überblick Sicherheitsteams können nicht überall sein, aber im aktuellen Umfeld ist es für Unternehmen unerlässlich, ihre Daten überall dort

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

Penetration Test Zielsetzung & Methodik

Penetration Test Zielsetzung & Methodik Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Petra Flessa Product Marketing Manager DACH it-sa 2013 10/4/2013 Copyright 2013 Trend Micro

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

1 Ratgeber und Praxis

1 Ratgeber und Praxis 1 Ratgeber und Praxis Nicht nur große, sondern zunehmend auch mittlere und kleine Unternehmen sind Zielscheibe von Cyberkriminellen. Dieses Kapitel gibt IT-Verantwortlichen und Administratoren einen praxisrelevanten

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN?

WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN? WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN? Wie kann ich die Kosten- und Leistungsziele meiner Organisation ohne neue Investitionen erfüllen? Das CA

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

UNTERNEHMENSBROSCHÜRE

UNTERNEHMENSBROSCHÜRE UNTERNEHMENSBROSCHÜRE Sicherer Schutz für Ihre Daten Outpost24 bietet eine hochmoderne Vulnerability Management-Technologie sowie Dienstleistungen an, die die komplexen Sicherheitsbedürfnisse moderner

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

CERT NRW Jahresbericht 2012

CERT NRW Jahresbericht 2012 Seite: 1 von 19 CERT NRW Jahresbericht 2012 Seite: 2 von 19 Inhalt CERT NRW... 1 Jahresbericht 2012... 1 Einleitung... 3 Aufgaben des CERT NRW... 3 Tätigkeitsbericht... 4 Schwachstellen in Webangeboten

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!

Mehr

Deutsches Forschungsnetz

Deutsches Forschungsnetz Deutsches Forschungsnetz Vorstellung NeMo: Erkennung und Bearbeitung von DDoS-Angriffen im X-WiN 62. DFN-Betriebstagung 3. März 2015, Berlin Gisela Maiß, DFN-Verein Jochen Schönfelder, DFN-CERT NeMo Netzwerk

Mehr

Sicher unterwegs mit Smartphone, Tablet & Co Basisschutz leicht gemacht. Tipps zum Umgang mit mobilen Geräten

Sicher unterwegs mit Smartphone, Tablet & Co Basisschutz leicht gemacht. Tipps zum Umgang mit mobilen Geräten Sicher unterwegs mit Smartphone, Tablet & Co Basisschutz leicht gemacht Tipps zum Umgang mit mobilen Geräten SICHER UNTERWEGS MIT SMARTPHONE, TABLET & CO VORWORT Sicherheit für Smartphone & Co Smartphones

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Payment Card Industry Data Security Standard (PCI DSS)

Payment Card Industry Data Security Standard (PCI DSS) Payment Card Industry Data Security Standard (PCI DSS) Verfahren für Sicherheitsscans Version 1.1 Veröffentlichung: September 2006 Inhaltsverzeichnis Zweck... 1 Einführung... 1 Umfang von PCI-Sicherheitsscans...

Mehr

KAV/KIS 2014 Global Messaging- Leitfaden

KAV/KIS 2014 Global Messaging- Leitfaden KAV/KIS 2014 Global Messaging- Leitfaden Headlines Kaspersky Internet Security 2014 Kaspersky Anti-Virus 2014 Premium-Schutz für den PC Essenzieller PC-Schutz Produktbeschreibung 15/25/50 Kaspersky Internet

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

CLOUD-SICHERHEITS- PLATTFORM DER NÄCHSTEN GENERATION

CLOUD-SICHERHEITS- PLATTFORM DER NÄCHSTEN GENERATION DIE CLOUD-SICHERHEITS- PLATTFORM DER NÄCHSTEN GENERATION Kontinuierliche Sicherheit für das globale Unternehmen Die Qualys Cloud-Plattform Die Qualys Cloud-Plattform und ihre integrierte Lösungssuite versetzen

Mehr

Heartbleed Bug - Was ist zu tun?

Heartbleed Bug - Was ist zu tun? Arbeitsgruppe Websicherheit Heartbleed Bug - Was ist zu tun? Was bedeutet die OpenSSL Sicherheitslücke Heartbleed für die Anbieter und Nutzer von Webdiensten? Was ist zu tun um Schäden zu vermeiden oder

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Getestete Programme. Testmethode

Getestete Programme. Testmethode PDF-EXPLOIT XPLOIT V Welche Folgen hat das Öffnen einer PDF Datei, die ein Exploit enthält? Als Antwort ein kleiner Test mit sieben Programmen und einem typischen PDF-Exploit. Getestete Programme AVG Identity

Mehr

INFORMATIONSSICHERHEIT BEGLEITHEFT ZUM VORTRAG. www.8com.de

INFORMATIONSSICHERHEIT BEGLEITHEFT ZUM VORTRAG. www.8com.de INFORMATIONSSICHERHEIT BEGLEITHEFT ZUM VORTRAG www.8com.de VORWORT Sehr geehrte Teilnehmerin, sehr geehrter Teilnehmer, täglich wird in den Medien über erfolgreiche Hacking-Attacken berichtet. Angefangen

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

IDS : HoneyNet und HoneyPot

IDS : HoneyNet und HoneyPot IDS : HoneyNet und HoneyPot Know your Enemy Hauptseminar Telematik WS 2002/2003 - Motivation In warfare, information is power. The better you understand your enemy, the more able you are to defeat him.

Mehr

Sebastian Schreiber Erschienen in HMD, Heft 248, April 2006. Kosten und Nutzen von Penetrationstest

Sebastian Schreiber<Schreiber@SySS.de> Erschienen in HMD, Heft 248, April 2006. Kosten und Nutzen von Penetrationstest Sebastian Schreiber Erschienen in HMD, Heft 248, April 2006 Kosten und Nutzen von Penetrationstest Abstract Für kriminelle sind Unternehmensnetze ein attraktives Angriffsziel. Unternehmen

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12. Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit Uwe Bernd-Striebeck RSA Security Summit München, 12. Mai 2014 Security Consulting Planung und Aufbau von Informationssicherheit

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

Installation und Lizenz

Installation und Lizenz Das will ich auch wissen! Kapitel 2 Installation und Lizenz Inhaltsverzeichnis Überblick über dieses Dokument... 2 Diese Kenntnisse möchten wir Ihnen vermitteln... 2 Diese Kenntnisse empfehlen wir... 2

Mehr

GLOBAL SECURITY INTELLIGENCE. Technologien für den automatischen Exploit-Schutz. #EnterpriseSec kaspersky.com/enterprise

GLOBAL SECURITY INTELLIGENCE. Technologien für den automatischen Exploit-Schutz. #EnterpriseSec kaspersky.com/enterprise GLOBAL SECURITY INTELLIGENCE Technologien für den automatischen Exploit-Schutz #EnterpriseSec kaspersky.com/enterprise Inhaltsverzeichnis Die neue Bedrohung kommt von innen 3 Schwachstellen als Einfallstore:

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Thema: SQL-Injection (SQL-Einschleusung):

Thema: SQL-Injection (SQL-Einschleusung): Thema: SQL-Injection (SQL-Einschleusung): Allgemein: SQL (Structured Query Language) ist eine Datenbanksprache zur Definition von Datenstrukturen in Datenbanken sowie zum Bearbeiten (Einfügen, Verändern,

Mehr

Was ist eine Firewall? Bitdefender E-Guide

Was ist eine Firewall? Bitdefender E-Guide Was ist eine Firewall? Bitdefender E-Guide 2 Inhalt Was ist eine Firewall?... 3 Wie eine Firewall arbeitet... 3 Welche Funktionen eine Firewall bieten sollte... 4 Einsatz von mehreren Firewalls... 4 Fazit...

Mehr

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH 6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen

Mehr