Naturwissenschaftliche Fakultät der Universität Salzburg Fachbereich Computerwissenschaften. Security. Seminararbeit. Seminar aus Informatik

Größe: px
Ab Seite anzeigen:

Download "Naturwissenschaftliche Fakultät der Universität Salzburg Fachbereich Computerwissenschaften. Security. Seminararbeit. Seminar aus Informatik"

Transkript

1 Naturwissenschaftliche Fakultät der Universität Salzburg Fachbereich Computerwissenschaften Security Seminararbeit Seminar aus Informatik Eingereicht von Bernhard Guillon Michael Burian, B.eng. Eingereicht bei Univ.-Prof. Dipl.-Ing. Dr.techn. Wolfgang Pree 15. Juli 2012

2 Inhaltsverzeichnis 1 Einleitung 3 2 Intrusion Detection Systems Host Based Intrusion Detection System (IDS) Network Based IDS Art der Erkennung Misuse detection Anomaly detection Verschiedene Arten von anomaly detection Statistical anomaly detection Machine based learning Data mining Fallstudie: Webattacken schnell erkennen 9 4 Angriffe auf industrielle Steuerungen Ziele und Auswirkungen Technische Grundlagen Ein möglicher Lösungsansatz Beispiel chemische Prozesssteuerung A Literatur 18 B Abkürzungen 19 2

3 1 Einleitung In den Medien ist immer häufiger von Cyber War oder Hackergruppen wie Anonymous die Rede. Es wird auch regelmäßig von Industriespionage berichtet. Daher ist es sowohl für private Anwender als auch für Firmen zunehmend wichtiger, sich gegen Angriffe von außen, aber besonders auch von innen zu schützen. In dieser Seminararbeit gehen wir auf die aktuellen Möglichkeiten ein, diese zu erkennen. Dabei werden zuerst IDS im Allgemeinen beschrieben. Anschließend wird weiter auf das vielversprechende Feld der anomaly detection eingegangen und dessen positive und negative Eigenschaften erläutert. Abgeschlossen wird die Arbeit mit zwei Fallbeispielen. Das erste Fallbeispiel beschreibt das Problem der großen Datenmengen, die bei Einbrucherkennungssystemen anfallen, schnell genug zu verarbeiten. Darauf folgt ein Einblick in Industriespionage am Beispiel von Stuxnet. 2 Intrusion Detection Systems IDS haben das Ziel, Einbrüche und Angriffe zu erkennen. Auch das Erkennen von Ausbrüchen wird immer wichtiger, um z.b. der Industriespionage entgegen wirken zu können. Das möglicherweise erste Modell eines IDS stammt von Anderson[2]. Er unterteilt mögliche Gefahren in drei Kategorien. Bei external penetrations handelt es sich um Angriffe von außen. Von internal penetrations geht ein ebenso großes Risiko aus. Er beschreibt mit diesem Begriff jene Nutzer, die bereits ein gewisses Ausmaß an Rechten besitzen und versuchen, Daten und Ressourcen zu verwenden, für die sie eigentlich keine Rechte besitzen. Als misfeasance bezeichnet er Benutzer, die einen legitimen Zugriff zu den Daten und Ressourcen haben, diesen aber missbrauchen. Bei IDS stellt sich, wie überall in der Security, die Frage Wie schützenswert ist das zu Schützende?. Eine hundertprozentige Erkennung gibt es nicht und der Aufwand steigt, je mehr man sich diesem Ziel nähern will. Ein IDS kann auf unterschiedliche Weise entworfen werden, angefangen bei der Art, wie das System funktioniert, bis hin zu seiner Platzierung. Bei der Platzierung wird zwischen Host Based und Network Based IDS unterschieden. Beide Ansätze haben Vor- und Nachteile, auf die nun näher eingegangen wird. 3

4 2.1 Host Based IDS Host Based IDS sind Systeme, die auf dem Rechner des Benutzers installiert sind und dort mit erhöhten Rechten laufen. Sie sind sehr tief im System verankert und damit in der Lage z.b. den Netzwerkverkehr oder Syscalls zu überwachen. Auch Prozessinformationen und der Systemspeicher können zur Analyse herangezogen werden. Wesentlich ist jedoch, dass sämtliche Kontextinformationen vorhanden sind. Besucht der Nutzer über seinen gewohnten Browser eine Webseite, wie beispielsweise uni-salzburg.at, ist dies wahrscheinlich von ihm so erwünscht. Will allerdings ein böswilliges Programm, z.b. als Windli32.dll getarnt, dieselbe Seite erreichen, ist dies vermutlich nicht gewollt. Ohne die Kontextinformation kann aber lediglich festgestellt werden, dass versucht wurde, uni-salzburg.at zu erreichen. Host Based IDS haben neben diesen Vorzügen leider auch erhebliche Nachteile. Einer der größten Nachteile besteht darin, dass bestimmte Angriffe mit diesem Prinzip nur schwer erkannt werden können. Wirkt eine Anfrage auf uni-salzburg.at mit einem Computer noch recht harmlos, kann dies, insofern es mit vielen Rechnern absichtlich und gleichzeitig passiert, eine Distributed Denial of Service (DDOS)-Attacke sein. Ein weiterer Punkt ist, dass der Verwaltungsaufwand in einem Netzwerk enorm steigt, um alle Erkennungssysteme auf dem selben Stand zu halten. Des Weiteren ist es schwieriger, eine zentrale Überwachungsstelle einzurichten, in der alle Informationen zusammen laufen. Dies ist aber gerade in Firmennetzen mit mehreren tausend Computern ein sehr wichtiger und nicht zu unterschätzender Punkt. Was hilft die beste Erkennung, wenn die für Sicherheit zuständige Person diese Informationen nur schwer erhält? Ein meist außer Acht gelassener Nachteil ist, dass durch die tiefe Verzahnung mit dem System das Erkennungsprogramm mit hohen Rechten ausgeführt werden muss. Gelingt es einem Angreifer, das System zu überlisten, z.b. weil das IDS für Pufferüberläufe anfällig ist, ist das eigentlich zum Schutz bestimmte Programm das Einfallstor für den Angreifer. 2.2 Network Based IDS Network Based IDS scheinen auf den ersten Blick viele dieser Nachteile aufzuheben. Im Gegensatz zu Host-basierten Lösungen befinden sich diese im Netzwerk und überprüfen alle ein- und ausgehenden Verbindungen. Dadurch sind sie für den Angreifer schwer 4

5 auffindbar und somit schwieriger angreifbar. Auch verteilte Angriffe können mit der Platzierung im Netzwerk erkannt werden, da alle Verbindungen überwacht werden. Vor allem aber die zentrale Verwaltung ist eine besonders gute Eigenschaft, da es diese dem Verantwortlichen ermöglicht, alle Informationen an einer Stelle einzusehen. Der große Nachteil ist jedoch der Verlust der Kontextinformationen. Im Gegensatz zu Host Based IDS kann nicht unterschieden werden, ob uni-salzburg.at vom Browser des Benutzers oder von einem anderem Programm aus aufgerufen wurde. Es muss also von Fall zu Fall geprüft werden, welches System geeigneter ist. Ein anderes Problem ergibt sich durch die große Menge an Daten, die das Erkennungssystem relativ zeitnah verarbeiten können muss. Eine Faustregel für eine Entscheidung zwischen den Systemen könnte sein, dass man für private Nutzer mit nur sehr wenigen Rechnern Host Based IDS bevorzugt und für Firmen mit meist sehr vielen Computern zu Network Based IDS tendiert, da sonst der Verwaltungsaufwand zu groß wird. Es gibt natürlich auch die Möglichkeit, beide Systeme zu mischen und so die jeweiligen Nachteile abzuschwächen. 2.3 Art der Erkennung Ein weiteres Unterscheidungsmerkmal von IDS ist die Art, wie ein Angriff erkannt wird. Es gibt hier hauptsächlich zwei verschiedene Methoden, misuse detection und anomaly detection. 2.4 Misuse detection Misuse detection zeichnet sich dadurch aus, dass es Muster sucht und überprüft. Diese Muster werden von Spezialisten erstellt und bereitgestellt. Muster haben den Vorteil, dass die vorliegenden Daten sehr schnell überprüft werden können. Dies ist sehr wichtig, da die Einbrucherkennung möglichst zeitnah zum tatsächlichen Angriff statt finden soll. Wenn dies auf Dauer nicht gewährleistet ist, fallen immer mehr ungeprüfte Daten an, die auch nicht mehr untersucht werden können. Die Muster besitzen auch die positive Eigenschaft, wenige sogenannte false positives zu verursachen, also Angriffe zu melden, ohne dass ein tatsächlicher Angriff stattgefunden hat. Dies vermindert den administrativen Aufwand und die meisten Meldungen können von den Sicherheitsverantwortlichen tatsächlich überprüft werden. Meldet ein System zu viele falsche Attacken, 5

6 werden tatsächliche Einbrüche unter Umständen nicht entdeckt, da sie in der Flut falscher Meldungen untergehen. Dadurch, dass die Muster erst bereitgestellt werden müssen, können nur bekannte Angriffe entdeckt werden, die ein Experte zuvor analysiert hat. Nach der Analyse müssen Muster gewonnen werden, die möglichst wenige false positives auslösen. Es können also systembedingt keine sogenannten Zero Day Exploits gefunden werden. Zero Day Exploits sind unbekannte Angriffe gegen Software. Es gibt keinen Schutz dagegen. Deshalb sind diese Attacken gerade jene, deren Entdeckung besonders wichtig ist. Das IDS muss auch ständig auf dem neuesten Stand gehalten werden, was einen erhöhten administrativen Aufwand bedeutet. 2.5 Anomaly detection Um Zero Day Exploits entdecken zu können, wird intensiv an anomaly detection geforscht. Einer der ersten Wissenschafter, der dieses Gebiet begründet hat, ist D. Denning [3]. Er beschreibt die Idee von normaler Benutzung. Anhand dieser sollte es möglich sein, ungewöhnliches Verhalten festzustellen. Alle nicht dieser normalen Nutzung entsprechenden Verhaltensweisen stuft er als anomaly ein. Diese Kategorisierung wird auch heute noch von den meisten Wissenschaftern so verwendet. Ein Problem dabei ist, dass es keine scharfe Kriterien für Anomalien gibt. Es ist schwer festzustellen, was im Konkreten eine normale Benutzung darstellt. Hierbei wird klar, dass eine Anomalie kein Angriff sein muss, sondern lediglich bedeutet, dass sich der Benutzer oder dessen Computer ungewöhnlich verhalten. Das Erkennen von ungewöhnlichem Verhalten ist speziell bei der Detektierung von misfeasance sehr hilfreich, da hier das Verhalten entscheidet, ob ein Angriff vorliegt oder nicht. Der Nutzer darf z.b. auf den Firmenserver zugreifen und Daten kopieren. Wenn der Benutzer aber überdurchschnittlich viele Daten kopiert, kann dies ein Anzeichen für Industriespionage sein. Möglicherweise möchte der Mitarbeiter bald kündigen und verspricht sich durch die Mitnahme von Daten bei seinem neuem Arbeitgeber einen Startvorteil. Durch misuse detection wäre diese Verhaltensänderung vermutlich nicht aufgefallen. Ein großer Nachteil von anomaly detection ist die im Vergleich mit misuse detection sehr hohe Rate der false positives. 6

7 2.6 Verschiedene Arten von anomaly detection Wissenschafter der unterschiedlichsten Gebiete haben versucht, das Problem der anomaly detection zu lösen. A. Patcha and J.Park haben einen Artikel veröffentlicht [5], der einen sehr guten Überblick über das sehr breit gefächerte Gebiet liefert. Sie unterteilen anomaly detection in drei Hauptkategorien: Statistical anomaly detection Machine based learning Data mining Alle weisen verschiedene Vor- und Nachteile auf, haben aber gemeinsam, dass sie meist eine Trainingsphase benötigen, in der das normale Verhalten beobachtet und extrahiert wird. In einer anschließenden Testphase können Anomalien erkannt werden. Dies hat den Vorteil, dass diese Systeme vergleichsweise wartungsarm sind. Ändert sich allerdings das Verhalten eines Benutzers dauerhaft, weil er z.b. ein neues Aufgabengebiet zugewiesen bekommt, sollte die Trainingsphase wiederholt werden, da ansonsten noch mehr false positives zu erwarten sind. 2.7 Statistical anomaly detection Bei statistical anomaly detection wird zuerst durch Beobachtung ein Profil erstellt. Das Profil enthält verschiedene Faktoren wie Aktivitätshäufigkeiten oder CPU Auslastung. Das gespeicherte Profil wird anschließend ständig mit dem aktuellen Profil verglichen. Dabei wird ein anomaly score berechnet. Überschreitet der Score einen bestimmten Schwellenwert, wird ein Alarm ausgelöst. Dieser Ansatz ist im Speziellen gut dafür geeignet, Angriffe zu erkennen, die über einen längeren Zeitraum verteilt stattfinden wie z.b DDOS. Ein weiteres typisches Beispiel sind Portscans. Normalerweise werden nur sehr wenige Anfragen an bestimmte Ports gestellt. Erhöhen sich die Anfragen und vor allem die Anzahl der verschiedenen Ports, weicht dies erheblich von dem gespeichertem Profil ab und ein hoher Score wird berechnet. Gelingt es einem Angreifer allerdings, das System langsam zu trainieren oder das normale Profil zu erraten, kann er ungewöhnliches Verhalten verschleiern. Darüber hinaus ist es relativ schwer, einen ausgeglichenen 7

8 Schwellenwert zu finden. Der schwerwiegendste Nachteil ist aber, dass statistische Ansätze möglichst akkurate Verteilungen voraussetzen, das Benutzerverhalten sich aber oft nur schwer mit solchen Verteilungsfunktionen abbilden lässt. 2.8 Machine based learning Machine based learning ist die Eigenschaft eines Programms, sich bei einer bestimmten Aufgabe selbst zu verbessern, beziehungsweise diese Aufgabe eigenständig zu erlernen. Sie adaptieren sich also selbst. Eine häufig verwendete Technik dabei ist system call based sequence analysis. Die Idee dabei ist, das normale Verhalten eines Programms anhand von den verwendeten system calls zu lernen. Programme, die eine geänderte Sequenz aufweisen werden, als bösartig modifiziert angesehen. Zu den Nachteilen zählt unter anderen ein erhöhter Rechenaufwand, da alle system calls überwacht und überprüft werden müssen. Außerdem hat die Methode eine sehr hohe false positives-rate. Eine weitere etablierte Methode ist die sogenannte sliding window method. Hierbei soll ein sequentielles (kontinuierliches) Lernproblem in ein normales Lernproblem, für das es viele bereits erforschte Ansätze gibt, umgewandelt werden. Ein kontinuierliches Lernen ist bei IDS erwünscht, da sich das Programm an die Benutzer anpassen soll. Es birgt allerdings auch die Gefahr, langsam getäuscht und auf ein Verhalten hin trainiert zu werden, welches eigentlich als anomaly erkannt werden sollte. Die sliding window method unterteilt die Daten dabei in Bereiche und wendet darauf Methoden des supervised learning an. Anschließend werden alle Werte der Segmente zusammengenommen und daraus der neue Score ermittelt. Für die bei supervised learning benötigten Trainingsdaten werden dabei die vorhergehenden Segmente verwendet. Bayesian networks sind grafische Modelle, in denen Relationen zwischen interessanten Variablen dargestellt werden. Sie werden oft mit statistischen Ansätzen kombiniert. Das Interessante dabei ist, dass die Beziehungen zwischen den Variablen fehlende Informationen ausgleichen können. Sie wurden erfolgreich in einer Studie von Kruegl et al. eingesetzt, um die false positives- Rate von IDS zu verbessern. Dabei wurden die Alarme von verschiedenen IDS-Variablen verwendet und das Ergebnis des Bayesian network als Alarm an das Gesamtsystems verwendet. Dieser Ansatz ist leider sehr komplex und 8

9 findet daher kaum Verwendung in produktiven Systemen, die nicht der Forschung dienen. 2.9 Data mining Data mining beschreibt eine Technik, die automatisch Muster und Verteilungen von gegebenen Daten ermittelt. Eine solche Data mining-methode ist Classification-based intrusion detection. Diese Vorgehensweise unterscheidet zwischen normalem und abnormalem Verhalten durch ein Modell. Der Klassifizierungsprozess beinhaltet normalerweise die folgenden Schritte: Identifizieren der Klassen von den Trainingsdaten Identifizieren von klassifizierenden Eigenschaften Modell lernen anhand der Trainingsdaten Das gelernte Modell verwenden, um unbekannte Daten zu unterscheiden Eine Vielzahl von Klassifizierungsmethoden wurde verwendet darunter z.b. die automatische Erstellung von Regeln, Fuzzy Logik und genetische Algorithmen. 3 Fallstudie: Webattacken schnell erkennen Ausgehend von http-verkehrsdaten beschreibt Wang in [6], wie eine Schnellerkennung von Angriffen realisiert werden kann. Das Ziel dabei ist, den Verkehr quasi in Echtzeit zu überwachen, um so schnell wie möglich Gegenmaßnahmen zu erkannten Attacken ergreifen zu können. Die Aufgabenstellung besteht, sehr allgemein betrachtet, darin, bestimmte Arten von Netzwerkverkehr zu klassifizieren und ließe sich daher theoretisch mit einer Vielzahl von geeigneten Verfahren aus dem Gebiet des maschinellen Lernens bzw clustering bearbeiten. 9

10 Dabei wird eine große Menge an vorhandenen Daten mit bekannten Eigenschaften 1 dazu verwendet, um ein System darauf zu trainieren, auf die gewünschte Eigenschaft auch bei unbekannten (neuen) Daten mit hoher Wahrscheinlichkeit schließen zu können. Ein Nachteil vieler klassischer Verfahren ist die hohe Komplexität und der damit verbundene hohe Aufwand an Rechenzeit, der eine Anwendung in Echtzeit unmöglich macht. Soll die Aufgabe also ohne die Zuhilfenahme von Hochleistungsrechnern und innerhalb von Sekundenbruchteilen (statt Stunden) erledigt werden, muss ein geeignetes Verfahren dafür gefunden werden. 2 Nun gibt es bei Klassifizierungsaufgaben mehrere Möglichkeiten zur Beschleunigung, wie beispielsweise durch Abstraktion oder durch Beschränkung auf eine Teilmenge der Daten. Wang erörtert in [6] eine dritte Möglichkeit, die darauf basiert, einige relevante Repräsentanten (sogenannte Exemplars) für guten bzw bösen Verkehr aus den Trainingsdaten zu extrahieren. So wird sichergestellt, dass die Datenmenge überschaubar bleibt und die Erkennung effizient durchführbar ist. Wie kann nun eine gute Auswahl an relevanten Repräsentanten getroffen werden? Eine Möglichkeit dafür ist das von Frey und Dueck in [4] beschriebenen Verfahren der affinity propagation. Während herkömmliche Clustering-Verfahren oft darauf aufbauen, eine zufällige Initialisierung iterativ bis zum Erreichen gewisser Konvergenz- oder Abbruchkriterien zu verbessern 3, wird bei affinity propagation davon ausgegangen, wie gut sich ein bestimmter Punkt als Repräsentant für umliegende Punkte eignet. Die einzelnen Datenpunkte tauschen dazu Botschaften 4 aus. Zum einen schicken Punkte potenziellen Exemplar Kandidaten Botschaften inwieweit sie, verglichen mit alternativen Kandidaten zu ihrer Repräsentation geeignet wären 5, andererseits schicken die Kandidaten den 1 In diesem Fall ist vor allem interessant, ob es sich bei einem bestimmten Informationsaustausch um legitimen Datenverkehr handelt, oder ob es sich um eine Attacke handelt. 2 Während sich Einschränkungen bezüglich der Bandbreite in der Regel unter verstärktem finanziellen Einsatz lösen lassen, ist die Akzeptanz für hohe Latenzzeiten bei Netzwerkverbindungen ein viel schwierigeres Problem. Die zunehmende Verbreitung von Anwendungen, die für einen reibungslosen Betrieb auf Netzwerkverbindungen mit geringer Latenz angewiesen sind, (man denke nur an VoIP sowie die Mess-, Steuerungs- und Regelungstechnik, etc) zeigt, dass diese Problematik auch durch Fortschritte in der Miniaturisierung (Moore s Law) oder Parallelisierung (Amdahl s Law) nur unwesentlich entschärft werden kann. 3 Was im Falle von ungünstigen Initialisierungsdaten nicht notwendigerweise zu brauchbaren Ergebnissen führen muss. 4 Message Passing Algorithmus 5 Man spricht von responsibility, dh Zuständigkeit, Verantwortlichkeit. 10

11 anderen Punkten in die Gegenrichtung Botschaften zu, die anzeigen, wie sinnvoll es wäre, sie als Kandidaten zu wählen. 6 Ohne weiter auf technische Details wie die Iterationsregel oder den Dämpfungsfaktor zur Vermeidung von oszillierenden Phänomenen eingehen zu wollen, lässt sich sagen, dass sich dieses Verfahren im Vergleich zu anderen Clustering-Verfahren als sehr effizient erweist. Eine andere Möglichkeit, die Daten unter Erhaltung der wesentlichen Eigenschaften zu reduzieren ist das Prinzip des Information Gain. Dieses Prinzip fußt auf der Informations- Theorie von Shannon, die Attribute werden nach Kriterien wie dem Informationsgehalt bewertet. So werden in einer Analogie zur Meritokratie jene Attribute verstärkt zur Klassifizierung herangezogen, die einen besonders großen Beitrag zu einer erfolgreichen Klassifizierung leisten. Attribute, die nur eine geringe Verbesserung der Klassifizierungsleistung bringen, können so vernachlässigt werden, was zu einer weiteren Datenreduktion führt. Auch wenn die Zeiten zur Erkennung selbst im günstigsten Fall immer noch im Sekundenbereich liegen, ist dies doch eine wesentliche Verbesserung zu den alternativen Verfahren, die einige Stunden benötigen. Wird die Klassifizierung mittels K-nearest neighbors durchgeführt, so kann bereits mit 10% der durch affinity propagation ausgewählten Daten ein akzeptables Ergebnis erzielt werden. Ein Schwachpunkt bei der Verwendung von information gain (dh alle Datensätze verwenden, aber nur einen Teil der Attribute) ist die Tatsache, dass meist keine allzu große Auswahl an Datensätzen für Angriffssituationen zur Verfügung steht. 6 Diese Botschaften werden im Artikel als availability, dh Verfügbarkeit bezeichnet. 11

12 4 Angriffe auf industrielle Steuerungen 4.1 Ziele und Auswirkungen Typische Ziele bei Angriffen auf industrielle Anlagen sind sämtliche Teile der Infrastruktur, die für die Messung, Steuerung und Regelung der Anlage verantwortlich sind. Während von einer gewissen Dunkelziffer von Angriffen, die entweder gar nicht bemerkt, oder zumindest nicht veröffentlicht wurden, ausgegangen werden kann, lässt sich bei größeren Fällen oft nicht vermeiden, dass Details durchsickern und ein wenig schmeichelhaftes Bild über die Sicherheitslage in den betroffenen Anlagen zeichnen. Die Palette der Opfer reicht von Energieerzeugern und Versorgungsfunktionen wie Öl, Gas, Wasser bis hin zu Verkehr und militärischen Einrichtungen. Dementsprechend vielfältig sind die Auswirkungen solcher Angriffe auf die Wirtschaftlichkeit und Funktionsfähigkeit von Anlagen, auf die Gesundheit von Menschen und Tieren sowie auf die Umwelt. Während im industriellen Bereich aufgrund der langen Lebensdauer der Anlagen spätestens nach einigen Jahren Betrieb von einer veralteten Technologie auszugehen sein wird, können Angreifer auf eine Fülle von aktuellen Technologien zurück greifen. So sorgte 2010 ein Fall für Aufsehen, als der Betrieb der iranische Atomanreicherungsanlagen durch die Schadsoftware Stuxnet empfindlich gestört wurde. Der Angriff zielte darauf ab, die Steuerung der Anlagen so umzuprogrammieren, dass einige Prozesse außerhalb des sicheren Betriebsbereichs abliefen, was Schäden an der Anlage zur Folge hatte. Über die Urheber sowie deren Intentionen gibt es bislang zahlreiche Spekulationen. Konzentriert man sich auf die Auswirkungen der nachhaltigen Störung, kann mit einer gewissen Wahrscheinlichkeit von Sabotage zur Erreichung von militärischen bzw politischen Ziele ausgegangen werden 7. 7 Die Urheberschaft scheint, zumindest Medienberichten zur Folge, inzwischen geklärt, ist aber nach wie vor nicht unumstritten. 12

13 4.2 Technische Grundlagen Aus technischer Sicht sind ergibt sich folgendes Bild. Eine wesentliche Komponente des Angriffs waren Zero Day Exploits 8. Weiters wurde sowohl die Firmware als auch die Kommunikation der über Feldbusse verbundenen Sensoren und Aktoren manipuliert. Verbreitet hat sich die Schadsoftware über Netzwerk. Für Rechner die nicht mit dem Netzwerk verbunden waren, wurden USB-Sticks als Trägermedien verwendet. Um diese Aktivitäten zu verschleiern, wurden speziell auf die verwendeten SPS Infrastruktur zugeschnittene Rootkits verwendet. Auf PC-Seite wurden manipulierte Gerätetreiber eingesetzt. Um die Illusion eines legitimen Systems auf die Spitze zu treiben, wurden diese Gerätetreiber sogar noch mit gestohlenen Zertifikaten von anerkannten Hardwareherstellern kryptographisch signiert. Welche Schlüsse lassen sich aus diesem Fall ziehen? Auch wenn seit langer Zeit versucht wird, beispielsweise durch Weiterentwicklung von Programmiersprachen oder Entwurfsmethoden eine (im mathematischen Sinn beweisbare) Korrektheit zu erreichen, so ist doch eine Fülle von Software im Einsatz, bei deren Entwicklung auf die zahlreichen nichtfunktionalen Anforderungen 9 nur in einem sehr eingeschränkten Maß Rücksicht genommen wurde. Die erwähnten Sicherheitslücken wie Zero Day Exploits sind typischerweise schwer zu erkennen. Gleiches gilt für speziell auf die eingesetzte Hardware zugeschnittenen Rootkits. Generell stellt sich die Frage, worauf man überhaupt noch vertrauen kann, wenn sich, selbst zumindest hinsichtlich der Korrektheit relativ gut abgesicherte kryptographische Verfahren, mit einem verhältnismäßig geringen Aufwand 10 aushebeln lassen. Einige weitere wichtige Faktoren, die bei industriellen Anlagen die gesamte Thematik wesentlich erschweren, sind zum einen die Tatsache, dass in den meisten Fällen ein kontinuierlicher Betrieb (oft in Verbindung mit harten Echtzeitanforderungen) vorgesehen und jede Unterbrechung daher meist mit sehr hohen Kosten verbunden ist. Zum anderen ist oft aufgrund von gesetzlichen Rahmenbedingungen, spezifischen Vorschriften, Normen und Zulassungsverfahren keine flexible Reaktion auf aktuelle Bedrohungen 8 dh unbekannte Sicherheitslücken von Software, die bereits im Umlauf ist, wo die Hersteller also mangels Kenntnis noch keine Zeit hatten, Gegenmaßnahmen wie Patches oder Updates bereit zu stellen. 9 typischerweise Anforderungen hinsichtlich Sicherheit, aber auch Bedienbarkeit, etc 10 Ein simpler Datendiebstahl reicht aus. 13

14 zulässig oder überhaupt möglich. Während also Offline-Verfahren zur Erkennung von Schadsoftware eine Unterbrechung oder zumindest eine Einschränkung (auf Kosten der Aktualität der Messung) auf Backupmedien bedingt, ist es bei Abweichungen, die nur sporadisch im Betrieb auftreten (und beispielsweise das Zeitverhalten betreffen), häufig unmöglich, diese nachzuvollziehen. Um in diesem Umfeld, wo nur in einem sehr eingeschränkten Maß verbindliche Aussagen hinsichtlich der Integrität getroffen werden können, effiziente Sicherheitsmaßnahmen umsetzen zu können, bedarf es einer überlegten Herangehensweise. Auch wenn ein Ansatz im Sinne von Descartes 11 auf den ersten Blick in die richtige Richtung weist, sind doch noch weitere Überlegungen nötig, um daraus systematisch konkrete Maßnahmen zur Verbesserung der Sicherheit von Anlagen abzuleiten. 4.3 Ein möglicher Lösungsansatz So schlägt Cardenas in [1] vor, den Fokus nicht so sehr auf technologische Details möglicher Angriffe 12 oder konkrete Schwachstellen 13 zu legen, sondern die Aufmerksamkeit auf jene Aspekte zu legen, wo für Angreifer prinzipiell keine technische 14 Möglichkeit besteht, das Opfer über den Systemzustand zu täuschen. Dies sind typischerweise physikalische Kenngrößen und das Wissen über das Systemverhalten der Anlage. Das Ziel dabei ist, Abweichungen vom Sollzustand zu erkennen, ohne sich dabei auf die (möglicherweise bereits manipulierte) Infrastruktur verlassen zu müssen. Werden schon vor dem Betrieb Überlegungen angestellt, wie Störungen aussehen könnten, um damit bestimmte Ziele 15 zu erreichen, so können kritische Kenngrößen vorab ermittelt und robuste 16 Methoden zu einer effizienten Überprüfung im Angriffsfall vorgesehen werden. Neben den oben genannten Herausforderungen gibt es auch einige Erleichterungen bei der Umsetzung von Sicherheitsmaßnahmen in Supervisory Control and Data Acquisition 11 Motto: Zweifel ist der Weisheit Anfang. 12 Es gibt einfach zu viele. 13 Kein Schutz vor neuen, unbekannten Attacken. 14 Was Angriffe über nicht technische Wege, wie beispielsweise social engineering keineswegs ausschließt. 15 Beschädigung, Störung, Qualitätsbeeinträchtigung, Verzögerung, etc 16 dh unabhängig von den bestehenden Messeinrichtungen nutzbare 14

15 (SCADA) Systemen. So kann bei diesen Anlagen im Allgemeinen von einer sehr geringen Dynamik im Vergleich zu anderen Netzwerkstrukturen im Enterprise Bereich ausgegangen werden. Nicht nur die Infrastruktur ist verhältnismäßig stabil (die Hardware ist auf längerfristigen Betrieb ausgelegt), auch an den Anwendern ändert sich wenig. Der Netzwerkverkehr weist eine gewisse Regelmäßigkeit auf und die eingesetzten Protokolle sind sowohl hinsichtlich Anzahl als auch Komplexität besser vorhersehbar als im nicht industriellen Bereich. Als Konsequenz daraus ergibt sich, dass sich die spezifischen Schwächen von Verfahren wie anomaly detection hier nicht so stark auswirken. Die Anzahl der sog false positives kann aufgrund der guten Vorhersagbarkeit des Netzwerkverkehrs in einem derartigen System auf einem akzeptablen Niveau gehalten werden Beispiel chemische Prozesssteuerung Das Fallbeispiel in [1] illustriert eine mögliche Umsetzung dieser Überlegungen. Anhand eines einschlägigen chemischen Prozesses wird die Entwicklung eines Systems besprochen, welches Angriffe, wenn schon nicht verhindert, so zumindest deutlich erschwert bzw die Auswirkungen abmildert und den vor Ort handelnden Personen einen gewissen Handlungsspielraum ermöglicht. Man stelle sich einen unter Druck stehenden Kessel vor, in dem aus verschiedene Komponenten durch eine chemische Reaktion ein bestimmtes Endprodukt hergestellt wird. Die kritische Größe ist dabei der Druck. Die Anlage arbeitet, vereinfacht betrachtet, nur dann wirtschaftlich, wenn der Druck nahe an dem oberen zulässigen Limit liegt. Liegt der Druck unterhalb, tritt eine Verschlechterung der Ausbeute des Prozesses ein, liegt er darüber, besteht die Gefahr der Zerstörung der Anlage. Die Zufuhr der Ausgangsstoffe erfolgt durch elektronisch gesteuerte Ventile. Der Zustand im Kessel wird durch verschiedene Sensoren überwacht. Die Steuerung ist durch übliche PI 17 Regler gewährleistet. Zum Glück kann von einem recht trägen Verhalten des Systems ausgegangen werden. So dauert es einige Stunden bis im Falle von Fehlverhalten oder gezielter Manipulation ein kritischer Systemzustand erreicht wird. 17 Geschlossener Regelkreis mit Proportional- und Integralanteil. 15

16 Von der Methode her entspricht die Vorgehensweise der modellbasierten Entwicklung. Es wird also zuerst ein theoretisches Modell erstellt, welches eine Simulation und somit die Gewinnung weitere Erkenntnisse zu verhältnismäßig niedrigen Kosten und Risiken erlaubt. In der Simulation zeigte sich, dass, während die Manipulationen der meisten Sensoren kaum sicherheitskritische Auswirkungen auf den Prozess haben, es doch einen konkreten Sensor gibt, dessen Manipulation über die Rückwirkung auf den Regelkreis zu einem unzulässigen Ansteigen des Betriebsdruckes führen kann. Die Empfehlung lautet deshalb, wenn möglich alle, zumindest aber jene Sensoren deren Funktionsfähigkeit bereits im Vorfeld als kritisch erkannt wurde, durch technische Maßnahmen wie Trusted Platform Module (TPM) mit einem gewissen Schutz vor Manipulation 18 zu versehen. Ein weiterer Vorteil der modellbasierten Herangehensweise liegt darin, dass schon während der Entwicklung ein Verständnis dafür entsteht, mit welchen Daten im Betrieb in etwa zu rechnen ist. Diese Daten können nun entweder allein oder in Kombination mit empirisch im Zuge der Inbetriebnahme ermittelten Daten dazu verwendet werden, Vorhersagen, wie sich das System in gewissen Betriebspunkten verhalten wird, zu treffen. Der Vergleich dieser Vorhersagen mit den von der Anlage im Betrieb zurückgelieferten 19 Daten ermöglicht es, mittels statistischer Methoden nicht nur mit einer gewissen Wahrscheinlichkeit zu erkennen, dass etwas nicht stimmt, sondern auch entsprechende Entscheidungen für etwaige Gegenmaßnahmen zu treffen. Nun kann jedoch nicht ausgeschlossen werden, dass sich auch Angreifer Zugang zu diesen Daten verschafft haben. In diesem Fall ist anzunehmen, dass die gefälschten Daten von der Anlage nicht mehr als solche erkannt werden. Diese gerichteten unerkannten Attacken unterscheiden sich aufgrund der Strategie zur Schädigung und können somit anhand ihres spezifischen Verhaltens klassifiziert werden. Das Ziel der sogenannten surge Attacken ist es, so schnell wie möglich einen maximalen Schaden anzurichten. Bias Attacken hingegen versuchen, durch geringe Abweichungen über einen langen Zeitraum Schäden zu bewirken, ohne sich dabei durch auffälliges Ver- 18 tamper resistance 19 Nicht zu verwechseln mit den tatsächlichen Messwerten, diese könnten ja manipuliert worden sein. 16

17 halten der Anlage zu verraten. Die effektivste Variante kombiniert beide Techniken und führt die Anlage zunächst langsam in einen verwundbaren Zustand. Ist dieser erreicht, werden die Parameter so geändert, dass der maximale Schaden eintritt. Man spricht in diesem Fall von geometric attacks. 17

18 A Literatur Literatur [1] Alvaro A. Cárdenas u. a. Attacks against process control systems: risk assessment, detection, and response. In: Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security. ASIACCS 11. Hong Kong, China: ACM, 2011, S ISBN: DOI: / URL: (Siehe S. 14, 15). [2] James P. Anderson Co. Computer Security Threat Monitoring and Surveillance URL: (Siehe S. 3). [3] Dorothy E. Denning. An intrusion-detection model. In: IEEE TRANSACTIONS ON SOFTWARE ENGINEERING 13.2 (1987), S (Siehe S. 6). [4] Brendan J. Frey und Delbert Dueck. Clustering by Passing Messages Between Data Points. In: Science 315 (2007), S URL: edu/affinitypropagation. (Siehe S. 10). [5] Animesh Patcha und Jung-Min Park. An overview of anomaly detection techniques: Existing solutions and latest technological trends. In: Comput. Netw (Aug. 2007), S ISSN: DOI: /j.comnet URL: (Siehe S. 7). [6] Wei Wang und Xiangliang Zhang. High-speed web attack detection through extracting exemplars from HTTP traffic. In: Proceedings of the 2011 ACM Symposium on Applied Computing. SAC 11. TaiChung, Taiwan: ACM, 2011, S ISBN: DOI: / URL: (Siehe S. 9, 10). 18

19 B Abkürzungen DDOS Distributed Denial of Service IDS Intrusion Detection System PI Proproportion Integral PLC Programmable Logic Controller SCADA Supervisory Control and Data Acquisition SPS Speicherprogrammierbare Steuerung TPM Trusted Platform Module USB Universal Serial Bus VoIP Voice over Internet Protocol 19

Seminar aus Informatik

Seminar aus Informatik 2012-06-15 Intrusion Detection Systems (IDS) Ziel: Erkennung von Angriffen und Ausbrüchen Host Based IDS Läuft auf dem Host Ist tief im System verankert Hat Zugriff auf: Prozessinformationen Netzwerkverkehr

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS)

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS) Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik Prof. Dr. Dietrich Reschke Klassifikation und Einsatzmöglichkeiten

Mehr

FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI

FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI FIDeS: Frühwarn und Intrusion Detection System auf der Basis von kombinierten Methoden der KI Workshop Informationssicherheit Carsten Elfers 06.11.2009 System Qualität und Informationssicherheit Rahmenbedingungen

Mehr

PPC und Data Mining. Seminar aus Informatik LV-911.039. Michael Brugger. Fachbereich der Angewandten Informatik Universität Salzburg. 28.

PPC und Data Mining. Seminar aus Informatik LV-911.039. Michael Brugger. Fachbereich der Angewandten Informatik Universität Salzburg. 28. PPC und Data Mining Seminar aus Informatik LV-911.039 Michael Brugger Fachbereich der Angewandten Informatik Universität Salzburg 28. Mai 2010 M. Brugger () PPC und Data Mining 28. Mai 2010 1 / 14 Inhalt

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Überblick zu den aktuellen Sicherheitsrisiken und Schwachstellen im IT-Bereich

Überblick zu den aktuellen Sicherheitsrisiken und Schwachstellen im IT-Bereich Fakultät Informatik, Institut für Systemarchitektur, Professur für Datenschutz und Datensicherheit (DuD) Überblick zu den aktuellen Sicherheitsrisiken und Schwachstellen im IT-Bereich Ivan Gudymenko ivan.gudymenko@mailbox.tu-dresden.de

Mehr

SYN Grundlagen Algorithmen Anwendung FIN. Anomalieerkennung. UnFUG WS2011/2012. Alexander Passfall Hochschule Furtwangen

SYN Grundlagen Algorithmen Anwendung FIN. Anomalieerkennung. UnFUG WS2011/2012. Alexander Passfall <alex@passfall.de> Hochschule Furtwangen 1/23 UnFUG WS2011/2012 Alexander Passfall Hochschule Furtwangen 3. November 2011 2/23 Inhalt 1 Grundlagen Typen Funktionsweise 2 Algorithmen Outlier Detection Machine Learning 3 Anwendung

Mehr

Carsten Eilers www.ceilers-it.de. Der erste Cyberwar hat begonnen

Carsten Eilers www.ceilers-it.de. Der erste Cyberwar hat begonnen Carsten Eilers www.ceilers-it.de Der erste Cyberwar hat begonnen Stuxnet Juni 2010 USB-Wurm verbreitet sich über 0-Day- Schwachstelle in Windows: Stuxnet ("Shortcut-Lücke") Ziel der Angriffe: SCADA-Systeme

Mehr

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Petra Flessa Product Marketing Manager DACH it-sa 2013 10/4/2013 Copyright 2013 Trend Micro

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Maschinelles Lernen und Data Mining: Methoden und Anwendungen

Maschinelles Lernen und Data Mining: Methoden und Anwendungen Maschinelles Lernen und Data Mining: Methoden und Anwendungen Eyke Hüllermeier Knowledge Engineering & Bioinformatics Fachbereich Mathematik und Informatik GFFT-Jahrestagung, Wesel, 17. Januar 2008 Knowledge

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Die Vorteile von Multicore-UTM Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Inhalt Netzwerksicherheit wird immer komplexer 1 UTM ist am effizientesten, wenn ganze Pakete gescannt werden

Mehr

Data Mining-Modelle und -Algorithmen

Data Mining-Modelle und -Algorithmen Data Mining-Modelle und -Algorithmen Data Mining-Modelle und -Algorithmen Data Mining ist ein Prozess, bei dem mehrere Komponenten i n- teragieren. Sie greifen auf Datenquellen, um diese zum Training,

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Mining top-k frequent itemsets from data streams

Mining top-k frequent itemsets from data streams Seminar: Maschinelles Lernen Mining top-k frequent itemsets from data streams R.C.-W. Wong A.W.-C. Fu 1 Gliederung 1. Einleitung 2. Chernoff-basierter Algorithmus 3. top-k lossy counting Algorithmus 4.

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Die Vernetzung von Computer Systemen macht auch vor industriellen Systemen nicht halt.

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Verwundbarkeit Vernetzter Industriesteuerungen - Lagebild, Angriffe, Schutzmaßnahmen -

Verwundbarkeit Vernetzter Industriesteuerungen - Lagebild, Angriffe, Schutzmaßnahmen - Verwundbarkeit Vernetzter Industriesteuerungen - Lagebild, Angriffe, Schutzmaßnahmen - Jan-Ole Malchow, Johannes Klick, Prof. Volker Roth AG Sichere Identität Fachbereich Mathematik und Informatik Freie

Mehr

Bring your own Device

Bring your own Device Bring your own Device Name, Vorname: Rogler, Dominic Geburtstag: 18.04.1988 Studiengang: Angewandte Informatik 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 15.01.2015 Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Mit KI gegen SPAM. Proseminar Künstliche Intelligenz

Mit KI gegen SPAM. Proseminar Künstliche Intelligenz Mit KI gegen SPAM Proseminar Künstliche Intelligenz SS 2006 Florian Laib Ausblick Was ist SPAM? Warum SPAM-Filter? Naive Bayes-Verfahren Fallbasiertes Schließen Fallbasierte Filter TiMBL Vergleich der

Mehr

Detektion und Prävention von Denial-of-Service Amplification Attacken Schutz des Netzes aus Sicht eines Amplifiers

Detektion und Prävention von Denial-of-Service Amplification Attacken Schutz des Netzes aus Sicht eines Amplifiers Detektion und Prävention von Denial-of-Service Amplification Attacken Schutz des Netzes aus Sicht eines Amplifiers Timm Böttger, Lothar Braun, Oliver Gasser, Helmut Reiser, Felix von Eye 1 DoS Amplification

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch Unified Communications Security Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch 2 Geschäftseinheiten CASSARiUS Fortune Business und Informatik im Einklang. CASSARiUS

Mehr

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

Intrusion-Detection für Automatisierungstechnik

Intrusion-Detection für Automatisierungstechnik Intrusion-Detection für Automatisierungstechnik Franka Schuster Lehrstuhl Rechnernetze und Kommunikationssysteme Brandenburgische Technische Universität, Cottbus SPRING 7 GI SIDAR Graduierten-Workshop

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Theoretisches Seminar/Skiseminar im Wintersemester 2014/15. Themen

Theoretisches Seminar/Skiseminar im Wintersemester 2014/15. Themen FAKULTÄT FÜR WIRTSCHAFTSWISSENSCHAFTEN Lehrstuhl für Wirtschaftsinformatik I Informationssysteme Prof. Dr. Günther Pernul Theoretisches Seminar/Skiseminar im Wintersemester 2014/15 Auch im Wintersemester

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Black-Hat Search Engine Optimization (SEO) Practices for Websites

Black-Hat Search Engine Optimization (SEO) Practices for Websites Beispielbild Black-Hat Search Engine Optimization (SEO) Practices for Websites Damla Durmaz - 29. Januar. 2009 Proseminar Technisch Informatik Leitung: Georg Wittenburg Betreuer: Norman Dziengel Fachbereich

Mehr

Compass Event 2009. Vorträge. Ivan Bütler 13. August 2009. Willkommen!

Compass Event 2009. Vorträge. Ivan Bütler 13. August 2009. Willkommen! Compass Event 2009 Willkommen! Wir freuen uns, Sie begrüssen zu dürfen. Ivan Bütler 13. August 2009 Ich freue mich Ihnen den Termin für den Compass Event 2009 bekanntzugeben. Am Donnerstag, 15. Oktober

Mehr

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity BEISPIELE WELTWEIT ERFOLGREICHER CYBER- ANGRIFFE JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

Künstliche Intelligenz

Künstliche Intelligenz Künstliche Intelligenz Data Mining Approaches for Instrusion Detection Espen Jervidalo WS05/06 KI - WS05/06 - Espen Jervidalo 1 Overview Motivation Ziel IDS (Intrusion Detection System) HIDS NIDS Data

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

Personalisierung. Der Personalisierungsprozess Nutzerdaten erheben aufbereiten auswerten Personalisierung. Data Mining.

Personalisierung. Der Personalisierungsprozess Nutzerdaten erheben aufbereiten auswerten Personalisierung. Data Mining. Personalisierung Personalisierung Thomas Mandl Der Personalisierungsprozess Nutzerdaten erheben aufbereiten auswerten Personalisierung Klassifikation Die Nutzer werden in vorab bestimmte Klassen/Nutzerprofilen

Mehr

Voice over IP. Sicherheitsbetrachtung

Voice over IP. Sicherheitsbetrachtung Voice over IP Sicherheitsbetrachtung Agenda Motivation VoIP Sicherheitsanforderungen von VoIP Technische Grundlagen VoIP H.323 Motivation VoIP Integration von Sprach und Datennetzen ermöglicht neue Services

Mehr

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Intrusion Detection und Prevention Systeme IT-Sicherheitssysteme wie ein Intrusion Detection System bzw. Intrusion Prevention System

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Cloud Computing in Industrie 4.0 Anwendungen: Potentiale und Herausforderungen

Cloud Computing in Industrie 4.0 Anwendungen: Potentiale und Herausforderungen Cloud Computing in Industrie 4.0 Anwendungen: Potentiale und Herausforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftsingenieur der Fakultät

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Cyber Attack Information System - CAIS

Cyber Attack Information System - CAIS Cyber Attack Information System - CAIS Vorstellung im Beirat für Informationsgesellschaft am 28. Juni 2013 AIT Austrian Institute of Technology Department Safety & Security H. Leopold, H. Schwabach, T.

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

Analysen sind nur so gut wie die Datenbasis

Analysen sind nur so gut wie die Datenbasis Analysen sind nur so gut wie die Datenbasis Datenaufbereitung und Sicherung der Datenqualität durch den kontextbasierten MIOsoft Ansatz. Daten gelten längst als wichtiger Produktionsfaktor in allen Industriebereichen.

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Network Intrusion Detection

Network Intrusion Detection Stephen Northcutt, Judy Novak Network Intrusion Detection Übersetzung und Überarbeitung aus dem Amerikanischen von Marc Ruef Hüthig Widmung 11 Über die Autoren 12 Vorwort zur deutschen Neuauflage 13 Einführung

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

[IT-RESULTING IM FOKUS]

[IT-RESULTING IM FOKUS] [IT-RESULTING IM FOKUS] Hans-Peter Fries Business Security Manager Datenschutzauditor Industrie 4.0 und IT-Sicherheit Ein Widerspruch in sich? GmbH Schloß Eicherhof D-42799 Leichlingen +49 (0) 2175 1655

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Sicherheit in Eingebetteten IP-basierten Systemen. TP 4: Security. Dr. Benjamin Glas Robert Bosch GmbH. Seite 1

Sicherheit in Eingebetteten IP-basierten Systemen. TP 4: Security. Dr. Benjamin Glas Robert Bosch GmbH. Seite 1 Sicherheit in Eingebetteten IP-basierten Systemen TP 4: Security Dr. Benjamin Glas Robert Bosch GmbH Seite 1 Security im Automobil zunehmend im Fokus Angriffsmotivation mehr als Diebstahl... Funktionsmanipulation

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

Über dieses Buch. Kapitel 1. 1.1 Einleitung

Über dieses Buch. Kapitel 1. 1.1 Einleitung Kapitel 1 Über dieses Buch 1.1 Einleitung Dieses Buch behandelt das Vorgehensmodell Kanban und seinen Einsatz in Softwareentwicklungsprojekten. Kanban ist ein Vorgehensmodell der schlanken Softwareentwicklung

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

IT Sicherheitsgesetz und die Praxis

IT Sicherheitsgesetz und die Praxis Ute Bernhardt, Ingo Ruhmann IT Sicherheitsgesetz und die Praxis Ute Bernhardt, Ingo Ruhmann 2 IT Sicherheitswerkzeuge im Alltag gestern und heute Zeitnahe Alarme Protokolldaten Ute Bernhardt, Ingo Ruhmann

Mehr

Institut für angewandte Informationstechnologie (InIT)

Institut für angewandte Informationstechnologie (InIT) School of Engineering Institut für angewandte Informationstechnologie (InIT) We ride the information wave Zürcher Fachhochschule www.init.zhaw.ch Forschung & Entwicklung Institut für angewandte Informationstechnologie

Mehr

IT-Sicherheit Prof. Dr. Claudia Eckert

IT-Sicherheit Prof. Dr. Claudia Eckert IT-Sicherheit Prof. Dr. Claudia Eckert Technische Universität München Organisatorisches: Vorlesung 3 SWS, Übung 1 SWS: 5 Credit-Points Mi 16:00-17:30 MI HS2 (Vorlesung) Do 16:15-17:00 MI HS2 (Vorlesung)

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Cyber-Sicherheit von Industrial Control Systems

Cyber-Sicherheit von Industrial Control Systems Cyber-Sicherheit von Industrial Control Systems Holger Junker Bundesamt für Sicherheit in der Informationstechnik Industrial IT Forum 2012-04-25 Agenda Das BSI Cyber-Sicherheit im ICS-Kontext Sicherheitsmaßnahmen

Mehr

G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q1/2015

G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q1/2015 G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q1/2015 INHALTE Auf einen Blick 03-03 Prognosen und Trends 03-03 Aktuelle Lage: Täglich 4.900 neue Android-Schaddateien 04-04 Die Hälfte der Android-Malware

Mehr

Cyberkrieg - Realität oder Science Fiction

Cyberkrieg - Realität oder Science Fiction Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Cyberkrieg - Realität oder Science Fiction Andrei Vlad Seminar Future Internet WS14/15 Betreuerin: Nadine

Mehr

Persönlich wirksam sein

Persönlich wirksam sein Persönlich wirksam sein Wolfgang Reiber Martinskirchstraße 74 60529 Frankfurt am Main Telefon 069 / 9 39 96 77-0 Telefax 069 / 9 39 96 77-9 www.metrionconsulting.de E-mail info@metrionconsulting.de Der

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Tutorial: Homogenitätstest

Tutorial: Homogenitätstest Tutorial: Homogenitätstest Eine Bank möchte die Kreditwürdigkeit potenzieller Kreditnehmer abschätzen. Einerseits lebt die Bank ja von der Vergabe von Krediten, andererseits verursachen Problemkredite

Mehr

Der Service Desk der Zukunft

Der Service Desk der Zukunft Der Service Desk der Zukunft Wie Trends, Technologie und Innovation die Service-Erbringung veränderndern In diesen Tagen haben Experten, Analysten und Führungskräfte beim Gartner Symposium 2013 in Barcelona

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon Deep Security Die optimale Sicherheitsplattform für VMware Umgebungen Thomas Enns -Westcon Agenda Platformen Module Aufbau Funktion der einzelnen Komponenten Policy 2 Platformen Physisch Virtuell Cloud

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr