Fallstricke bei der Berechnung von Verfügbarkeit

Größe: px
Ab Seite anzeigen:

Download "Fallstricke bei der Berechnung von Verfügbarkeit"

Transkript

1 NR. 21 ADACOR BRANCHENINFORMATION AUSGABE 21 JULI 2014 Fachbeitrag von Thomas Wittbecker, CEO ADACOR Hosting GmbH Fallstricke bei der Berechnung von Verfügbarkeit Domain Management ICANN sperrt mehr als 6,8 Millionen Domains Cloudbase Proxy SaaS für höchste Flexibilität, Skalierbarkeit und Performance Sicherheit Effektive Weiterbildung schützt vor Hackerangriffen

2 BTS NR. 21 Effektive Weiterbildung schützt vor Hackerangriffen (ab Seite 14) Systemadministratoren von ADACOR besuchen Hacking-Seminar INHALT 3 EDITORIAL 4 BASIS-IT-SICHERHEITSANALYSE Risikomanagement in KMUs 8 TEAMWORK Das IT-Sicherheitsteam der ADACOR 11 FACHBEITRAG Thomas Wittbecker: Fallstricke bei der Berechnung von Verfügbarkeit 14 HACKATTACK Systemadministratoren von ADACOR besuchen Hacking-Seminar 18 WEB VULNERABILITY SCANNER Acunetix und Netsparker im Vergleich 22 KANBAN Verknüpfung des Kanban-Tools mit der Helpdesk-Software OTRS 26 CLOUDBASE Fortschrittsbericht 29 DOMAIN MANAGEMENT ICANN sperrt mehr als 6,8 Millionen Domains 30 VERSCHLÜSSELUNGSTECHNIKEN II Verschlüsselung 34 HEARTBLEED BUG (OPENSSL) Retrospektive aus Sicht der ADACOR 36 TEAMEVENTS Gemeinsam auch mal abschalten! 39 ADACOR AKTUELL UN Bericht II und Vorstellung von Mitarbeiter Marc Heinz

3 expect more KIKI RADICKE Leitung Marketing ADACOR Hosting GmbH Liebe Leserinnen und Leser, es wird nicht das letzte Mal gewesen sein: ein Hackerangriff auf eine bekannte Internetplattform. Erst Ende Mai rief das Online- Auktionshaus Ebay seine Nutzer zum Passwortwechsel auf, nachdem Hacker mithilfe gestohlener Mitarbeiter-Log-ins eine Kundendatenbank geknackt hatten. Die Aktion zeigt, dass nicht immer die Technik versagt. Manchmal handeln die Nutzer selbst fahrlässig ob gewollt oder nicht. Unabhängig davon, wie genau die Hacker an die Log-in-Daten gekommen sind, eins ist klar: Sicherheit im Internet ist das höchste Gebot für jeden Nutzer ob privat oder im Job. Nun lauern nicht nur im Internet Gefahren, die uns vertrauliche Daten kosten können. Ebenso hat die Datensicherheit bei der Kommunikation via eine hohe Relevanz. Welche genau, das erfahren Sie in unserem Artikel zur -Verschlüsselung ab Seite 30. Beim Schutz vor Hacking setzt die ADACOR als Teil ihres Sicherheitskonzepts auf die Weiterbildung ihrer Mitarbeiter. So besuchen die Systemadministratoren regelmäßig Hacking-Seminare. Was dabei auf dem Lernplan steht, lesen Sie ab Seite 14. Penetrationstests sind nicht nur fester Bestandteil jeder Hacking-Schulung, die ADACOR setzt auch im eigenen Unternehmen auf entsprechende Tools zur Überwachung ihrer Systeme. Eine Maßnahme zum Schutz vor Angriffen umfasst die Überprüfung von Internetseiten und anwendungen auf Sicherheitslücken und Schwachstellen mittels Web Vulnerability Scanner. Die Softwareentwickler der ADACOR haben zwei Produkte getestet und berichten ab Seite 18 von ihren Ergebnissen. Hackerangriffe und Datenklau bleiben uns in Zukunft 100-prozentig als sicherheitsrelevante Themen erhalten. Damit Sie für den Fall der Fälle gerüstet sind, versorgen wir Sie in dieser Ausgabe des ADACOR-Kundenmagazins mit zahlreichen Tipps zur Vorbeugung vor Hacking-Angriffen. Wir freuen uns, wenn Sie diese für sich nutzen können. Wir wünschen Ihnen viel Spaß beim Lesen! Ihre Kiki Radicke IMPRESSUM Herausgeber: ADACOR Hosting GmbH Emmastraße 70 A Essen Geschäftsführung: Thomas Wittbecker Andreas Bachman Patrick Fend Alexander Lapp Kontaktdaten: Telefon: Telefax: Internet: Chefredakteurin: Kiki Radicke, ADACOR Redaktion: Josephine Alberts, Hamburg Carla Breidenstein, Frankfurt Design: kinoblau, Düsseldorf Druck: Althoff Druck, Soest Bildnachweis: Stocksy istockphoto Thinkstock 2014 ADACOR

4 4 BTS NR. 21 Basis-IT-Sicherheitsanalyse Risikomanagement in KMUs Kaum jemand wird bestreiten, dass Compliance-Anforderungen mehr und mehr auch in das Blickfeld kleiner und mittelgroßer Unternehmen (KMUs) rücken. Sei es durch rechtliche Vorgaben, wie das Bundesdatenschutzgesetz (BDSG), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), oder durch Anforderung im Zuge spezieller Zertifizierungen, wie z. B. den Normen ISO (Informationssicherheit) oder IDW PS 951 (internes Kontrollsystem). ππrisikomanagement ist ein Thema, an dem auch kleine und mittelgroße Unternehmen in diesen Tagen nicht mehr vorbeikommen. Denn all diese Gesetze, Verordnungen, Richtlinien und Normen beinhalten, dass ein Unternehmen ein aktives Risikomanagement implementiert haben muss, wenn es seine Sorgfaltspflicht gegenüber seinen Mitarbeitern und Kunden ernst nehmen sowie eine wert- und erfolgsorientierte Unternehmensführung etablieren will. Aber wie können KMUs auf einfache, effiziente und skalierbare Art und Weise ein Risikomanagement implementieren? Aller Anfang ist schwer Wenn man in seinem Unternehmen noch kein Risikomanagement eingeführt hat, scheint die Aufgabe erst einmal sehr komplex und man fragt sich, wie sich Risikomanagement vernünftig implementieren lässt. Schließlich sollten Aufwand, Kosten und Nutzen in einem angemessenen Verhältnis zueinander stehen. In einem solchen Fall liefern die Normen ISO (Risikomanagement), ISO (Information Security Risk Management) sowie die Standards Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der BSI-Standard (Risikoanalyse) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hilfreiche Ansatzpunkte. Jeder dieser Standards hat in Bezug auf die Einführung eines aktiven Risikomanagements Vor- und Nachteile, die es generell abzuwägen gilt. Im Kontext unserer Suche nach einem geeigneten Risikostandard für die ADACOR Hosting GmbH haben wir diese Standards analysiert und auf brauchbare, einfach zu realisierende Ansatzpunkte hin untersucht und ausgewertet. Dabei haben wir letztlich ein Modell entwickelt, das sich an ISO und BSI orientiert, aber über die reinen IT-Risiken hinaus nutzbar ist (z. B. auch in der Risikobewertung von Kundenprojekten und Lieferanten). Nachfolgend stellen wir einen Ansatz vor, der kleinen und mittelgroßen Unternehmen einen einfachen und ressourcenschonenden Einstieg in ein betriebliches Risikomanagement ermöglicht. Der Ansatz erhebt jedoch keinen Anspruch darauf, einen der vorgenannten Standards komplett zu erfüllen.

5 5 Wie funktioniert Risikomanagement? Will ein Unternehmen erfolgreich ein effizientes Risikomanagement implementieren, ist es von Anbeginn wichtig, die bestmöglichen Voraussetzungen für die Einführung des Instrumentariums zu schaffen. Hierfür sollten alle mit der Implementierung zusammenhängenden Aufgaben bereits im Vorfeld klar definiert und die entsprechenden personellen Verantwortlichkeiten zugewiesen werden. Sind diese Voraussetzungen erfüllt, dann ist Risikomanagement im Wesentlichen sehr einfach, denn es folgt immer dem gleichen Ablauf: 1. Firmenwerte identifizieren und Risikoszenarien zuordnen 2. Rahmenparameter definieren und Punktwerte festlegen 3. Risiken bewerten und Handlungsvorgaben differenzieren 4. Risikoanalyse durchführen und Gegenmaßnahmen definieren plus umsetzen 5. Wertaktualität überwachen und Prozesskontinuität sicherstellen 1. Firmenwerte identifizieren und Risikoszenarien zuordnen Unter den Begriff Firmenwert fällt alles, was für das Unternehmen für den Fortbestand des Geschäftsbetriebes relevant ist, wie z. B. Räume, Anwendungen, IT-Systeme, Prozesse, Personal, Lieferanten usw. Bei der Auflistung der Firmenwerte ist unbedingt auf Vollständigkeit zu achten. Es müssen alle Werte identifiziert werden, die potenziell einem Risiko ausgesetzt sind und somit Einfluss auf den Geschäftsbetrieb nehmen können. Die vollständige Firmenwertliste bildet das Fundament eines tragfähigen Risikomanagements. Dann gilt es, einen Katalog von Risikoszenarien (z. B. Feuer, Überschwemmung etc.) zu erstellen, denen die Firmenwerte ausgesetzt sind. Um hier nicht bei null anfangen zu müssen, legten wir bei ADACOR die Elementargefährdungen aus den Gefährdungskatalogen des BSI zu Grunde. Diese enthalten 47 Risikoszenarien von Feuer über Verschmutzung bis Ressourcenmangel und stellen einen guten Grundstock dar, der ggf. individuell, problemlos und ohne viel Aufwand erweitert werden kann. 2. Rahmenparameter definieren und Punktwerte festlegen Um einen Rahmen zu schaffen, der es ermöglicht, Risiken angemessen zu bewerten, müssen zuerst die Parameter des Rahmens definiert werden. Dabei wird Risiko klassisch gemäß der Formel berechnet: Risiko = Häufigkeit x Schaden. Damit bei der Risikoanalyse später jede einzelne Risikobewertung nachvollziehbare, gleichbleibende Ergebnisse hervorbringt, müssen für die Parameter Häufigkeit und Schaden verschiedene Stufen festgelegt und sogenannte Punktwerte vergeben werden. Konkret gestaltet sich das bei den einzelnen Parametern wie folgt: Häufigkeit Für die Häufigkeit, mit der ein Schadensszenario potentiell eintreten kann, unterscheiden wir hier bei ADACOR drei Stufen, denen wir entsprechende Punktwerte zugeordnet haben: Hoch täglich bis wöchentlich (3 Punkte) Mittel monatlich bis jährlich (2 Punkte) Niedrig seltener als jährlich (1 Punkt) Relevant ist hierbei die tatsächliche Häufigkeit, mit der das Ereignis zu erwarten ist. Wenn während des 10-jährigen Bestehens des Standortes z. B. der nahegelegene Fluss noch nie über die Ufer getreten ist, kann dieses Szenario nur mit Niedrig bewertet werden. Dass er potentiell jedes Jahr im Frühjahr übertreten könnte, rechtfertigt keine Einstufung auf Mittel. Schaden Bei der Einschätzung der Folgen eines Schadens stützen wir uns auf die im BSI Standard vorgeschlagenen Stufen: Niedrig keine Folgen (1 Punkt) Mittel geringe Folgen (2 Punkte) Hoch hohe Folgen (3 Punkte) Sehr hoch - existenzbedrohende Folgen (4 Punkte) Allerdings können Schäden in verschiedenen Bereichen eines Unternehmens in sehr unterschiedlicher Qualität entstehen. Um dies in die Risikoanalyse mit einzubeziehen, müssen zusätzlich die Auswirkungen auf die potenziell beeinträchtigen Bereiche für jede Schadensstufe detailliert beschrieben werden. Denkbar sind z. B. Auswirkungen in Bezug auf: 1. Gesetze, Vorschriften, Verträge 2. Selbstbestimmungsrecht 3. Unversehrtheit 4. Aufgabenerfüllung 5. Innen-/Außenwirkung 6. Finanzen

6 6 BTS NR. 21 Nachfolgend sehen Sie, wie die detaillierte Schadensdefinition beispielsweise für die Schadensstufe Niedrig aussehen könnte. Schadstoffstufe: Niedrig Bereich Gesetze,Vorschriften, Verträge Selbstbestimmungsrecht Schadensdefinition Verstöße gegen Verträge, Vorschriften und Gesetze sind nicht zu erwarten bzw. ohne Folgen. Es ist keine Beeinträchtigung des informationellen Selbstbestimmungsrechts zu erwarten. Unversehrtheit Es ist keine Beeinträchtigung zu erwarten. Aufgabenerfüllung Innen-/Außenwirkung Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. Die maximal tolerierbare Ausfallzeit des IT- Systems ist größer als 72 Stunden. Es ist keine bzw. nur eine geringe interne Ansehens- oder Vertrauensbeeinträchtigung zu erwarten. Finanzen Der finanzielle Schaden ist kleiner als 5.000,-. Die genauen Schadensdefinitionen je Schadensstufe müssen für jedes Unternehmen individuell formuliert werden, denn hier kann es zu signifikanten Unterschieden kommen. Man vergegenwärtige sich nur einmal, dass z. B. in der Schadensstufe Sehr hoch das eine Unternehmen ab einer Schadenssumme von EUR existenziell gefährdet ist, ein anderes jedoch möglicherweise bereits ab einer Summe von EUR. 3. Risiken bewerten und Handlungsvorgaben differenzieren Aus den oben beschriebenen Definitionen für Schaden und Häufigkeit lässt sich jetzt entsprechend der Formel (Risiko = Häufigkeit x Schaden) die entsprechende Risikomatrix folgern: HÄUFIGKEIT SCHADEN NIEDRIG MITTEL HOCH NIEDRIG MITTEL HOCH SEHR HOCH In Bezug auf den Umgang mit den einzelnen Risiken ist diese Matrix jedoch leider noch nicht aussagekräftig genug. Denn was bedeutet es nun, wenn ein spezifisches Risiko (z. B. ein Blitzschlag) den Wert 2 hat? Um aus den Werten eine konkrete Handlungsanweisung ableiten zu können, müssen noch dazugehörige Handlungsvorgaben unterschieden und konkreten Punktzahlen zugewiesen werden. So kann die unternehmensspezifische Risikotoleranz individuell abgebildet werden. X Risiko wird akzeptiert, keine weitere Behandlung. (Punktzahl 1-2) X X Risiko muss behandelt werden. Risiko kann akzeptiert werden (Punktzahl 3-7) Risiko muss behandelt werden. Risiko kann nicht akzeptiert werden. (Punktzahl 8-12) HÄUFIGKEIT SCHADEN NIEDRIG MITTEL HOCH NIEDRIG MITTEL HOCH SEHR HOCH Die Grundlage für die Implementierung eines Risikomanagements ist hiermit gelegt. Nun geht es an die eigentliche Risikoanalyse.

7 7 4. Risikoanalyse durchführen und Gegenmaßnahmen definieren plus umsetzen Für die konkrete Durchführung der Risikoanalyse reicht es für den ersten und einfachen Einstieg, die drei bereits genannten Schritte (Firmenwerte identifizieren, Risikoszenarien zuordnen und Risiken bewerten) in einer schlichten Excel-Tabelle abzubilden. Mithilfe dieser Risikoanalyse sehen Sie anhand des zugewiesenen Risikowerts direkt, wo der größte Handlungsbedarf besteht, und können entsprechende Maßnahmen einleiten, um das Risiko zu senken. Die einzelnen Maßnahmen - die in der Liste als zusätzliche Spalten gepflegt werden können - sollten dann entweder die Häufigkeit und/ oder den Schaden verringern und im normalen Aufgabenmanagement der Firma verankert sein. Die tatsächliche Umsetzung ist entsprechend zu überwachen. 5. Wertaktualität überwachen und Prozesskontinuität sicherstellen Risikomanagement wird als ein fortlaufender zirkulärer Prozess verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden. Dies in Verbindung mit der Tatsache, dass Unternehmen sich im ständigen Wandel befinden und ggf. auch kurzfristig auf sich verändernde Anforderungen reagieren können müssen, verdeutlicht, weshalb es in demselben Maße für eine systematische und fundierte Risikoanalyse wichtig ist, die einzelnen Bestandteile regelmäßig auf ihre Aktualität und Stimmigkeit hin zu kontrollieren. Hinzu kommt, dass sich im Laufe der Zeit möglicherweise auch die Risikotoleranz eines Unternehmens verändert. Die Stufen der Rahmenparameter und die dazugehörigen Punktwerte, die Schadensdefinitionen, die Risikobewertungen und die Handlungsanweisungen müssen daher konsequent und fortlaufend validiert werden. Um eine permanente Überwachung der Werte und Prozesse sicherzustellen, hat es sich für die ADACOR Hosting GmbH als gut in den Arbeitsalltag integrierbarer Weg erwiesen, jeden Monat turnusmäßig nur eine bestimmte Anzahl von Firmenwerten zu prüfen, anstatt die gesamte Analyse an einem Stück durchzuführen. Fazit Ein einfaches Risikomanagement, das den Ressourcen und Anforderungen kleinerer und mittlerer Firmen gerecht wird, ist das haben wir am Beispiel der ADACOR Hosting GmbH gezeigt - mit vertretbarem Aufwand implementierbar und liefert wertvolle Einsichten in das Risikoprofil des eigenen Betriebes. Für ein möglichst realistisches Abbilden der Risiken in einem anderen Unternehmen ist es jedoch unerlässlich, den vorgestellten Ansatz der ADACOR mit Blick auf das eigene Unternehmen zu überprüfen und dort wo notwendig ggf. zu erweitern oder zu modifizieren. ANDREAS BACHMANN Geschäftsführer I CIO ADACOR Hosting GmbH Kaiserleistraße Offenbach am Main TELEFON TELEFAX INTERNET

8 8 BTS NR. 21 KUNDE MANAGEMENT BETRIEBSTEAM ENTWICKLUNGS- TEAM IT-SICHERHEITS- TEAM INFRASTRUKTUR - TEAM RECHENZENTRUM

9 9 Die Teams der ADACOR Das IT-Sicherheitsteam: Bindeglied in der Datensicherheit zwischen strategischer Planung und operativer Umsetzung Insgesamt vier Teams stellen den reibungslosen Betrieb der verschiedenen Kundenprojekte sicher. Drei davon das Infrastruktur-, Betriebs- und Entwicklungsteam haben wir Ihnen bereits vorgestellt. Last but not least wollen wir in dieser Ausgabe nun die Aufgaben des IT-Sicherheitsteams näher betrachten und damit unsere Reihe Die Teams der ADACOR abschließen. Das IT-Sicherheitsteam arbeitet eng mit dem IT-Sicherheitsbeauftragten zusammen und bildet in Bezug auf alle sicherheitstechnischen Fragen quasi die Schnittstelle zwischen strategischer Planung und operativer Umsetzung. ππursprünglich entstanden ist das IT-Sicherheitsteam im Zuge der aufkommenden Zertifizierungsthematik nach ISO sowie vor dem Hintergrund der immer wieder öffentlich diskutierten Thematik des Datenschutzes in Deutschland. Sicherheitstechnische Fragestellungen sind für ein Unternehmen wie ADACOR von essentieller Bedeutung, erklärt Andreas Bachmann, Geschäftsführer und IT-Sicherheitsbeauftragter des Unternehmens. Unsere Kunden müssen sich 100-prozentig darauf verlassen können, dass ihre Anwendungen vor unberechtigten Zugriffen geschützt sind und Daten in keiner Weise von Unbefugten gelesen oder gar manipuliert werden können. Das Thema Sicherheit ist also für unsere Kunden und somit auch für die ADACOR Hosting GmbH ein kritischer Erfolgsfaktor. ADACOR hat deshalb verschiedene Maßnahmen ergriffen, um die Themen Datenschutz und Datensicherheit sowohl auf der strategisch-organisatorischen Ebene als auch im operativen Tagesgeschäft systematisch und strukturell zu verankern. Bereits seit 2010 organisiert und implementiert die ADACOR das Thema Sicherheit mithilfe eines Datenschutzbeauftragten, dem IT-Sicherheitsbeauftragten und dem IT-Sicherheitsteam. Die Aufgaben sind klar verteilt. Während der Datenschutzbeauftragte des Unternehmens die Verfahren und Prozesse mit personenbezogenen Daten überprüft und sicherstellt, dass die Vorgaben des Bundesdatenschutzgesetzes (BDSG) eingehalten werden, zeichnet der IT-Sicherheitsbeauftragte für Planung und Koordinierung der technischen und organisatorischen IT- Sicherheitsmaßnahmen im Unternehmen verantwortlich. Er legt die notwendigen Verantwortlichkeiten fest und erarbeitet konkrete Handlungsanweisungen und Maßnahmen. Primäre Aufgabe des IT-Sicherheitsteams ist es in diesem Kontext, dem IT-Sicherheitsbeauftragten zuzuarbeiten, d. h., es versorgt den IT-Sicherheitsbeauftragen mit den nötigen Informationen aus den Abteilungen. Dies ist nicht nur für die Analyse des Bedarfs wichtig, sondern auch für die konkrete Planung und Initiierung von Sicherheitsmaßnahmen. Aber das Team leistet mehr als nur Rapport. Es unterstützt zudem die operative Implementierung von Maßnahmen und kommuniziert die Neuerungen rund um das Thema Sicherheit zu den einzelnen Mitarbeitern in den jeweiligen Abteilungen. Hierdurch leistet das Team einen wesentlichen Beitrag zur kontinuierlichen Verbesserung aller sicherheitsrelevanten Prozesse und Kommunikationswege. Außerdem führt es interne Audits, Systemprüfungen und Protokollkontrollen durch und verfolgt die einzelnen Sicherheitsvorfälle. Hierdurch unterstützt das Team aktiv die Implementierung eines professionellen Risikomanagements und füllt das ADACOR-Sicherheitskonzept mit Leben. Eine weitere wichtige Aufgabe des Teams besteht in der Administration von sicherheitskritischen und schutzbedürftigen Systemen (z. B. Buchhaltungssysteme oder andere Systeme mit Personendaten). Diese werden nicht vom Betriebsteam als Gesamtes gemanagt, sondern vom IT-Sicherheitsteam sowie speziell für diese Fälle berufenen Systemadministratoren iso-

10 10 BTS NR. 21 Verantwortlichkeiten rund um das Thema Sicherheit WER DATENSCHUTZBEAUFTRAGTE IT-SICHERHEITSBEAUFTRAGTE IT-SICHERHEITSTEAM MACHT WAS? - Kontrolle der Verfahren und Prozesse mit personenbezogenen Daten und Sicherstellung, dass die Vorgaben des BDSG eingehalten werden - Planung und Konzeption der IT-Sicherheitsorganisation, Maßnahmen, Richtlinien und Verantwortlichkeiten - Bereitstellung von sicherheitsrelevanten Informationen aus den einzelnen Teams - Unterstützung des IT-Sicherheitsbeauftragten bei der Bedarfsanalyse, Planung, Initiierung und Umsetzung von sicherheitssteigernden Maßnahmen - Administration sicherheitskritischer Systeme liert betreut. Auch in Bezug auf die Entwicklung hat ADACOR ein Sicherheitsnetz eingezogen. So haben die regulären Entwickler keinen Zugriff auf kritische Produktivsysteme der ADACOR. Hier wurden ebenfalls drei speziell verpflichtete Mitarbeiter abgestellt, die über exklusiven Zugriff auf die Produktivsysteme verfügen und sich um das Deployment, sprich die Softwareverteilung kümmern. Das IT-Sicherheitsteam setzt sich bei der ADACOR aus den drei Geschäftsführern der operativ-technischen Bereiche Betrieb, Entwicklung und Infrastruktur, den dazugehörigen Teamleitern und einem Systemadministrator zusammen. Bei allen Beteiligten handelt es sich um langjährige Mitarbeiter, die in puncto Geheimhaltung und Verantwortlichkeiten gesondert verpflichtet wurden. Das Team trifft sich einmal im Monat und bespricht aktuelle Vorfälle, den Stand unterschiedlicher Maßnahmen, fortlaufende Verbesserung und geplante Projekte. Typische Projekte sind z. B.: Wir ziehen einen Großteil unserer Motivation daraus, unseren Kunden und ihren Projekten die bestmöglichen Rahmenbedingungen in Bezug auf die Sicherheit anbieten zu können, und nehmen unsere Sorgfaltspflicht diesbezüglich sehr ernst. Unserem hohen Sicherheitsanspruch kommen wir u. a. durch deutsche Rechenzentrumsstandorte und der Orientierung an etablierten Sicherheitsstandards wie ISO und sowie COBIT (einem international anerkannten Framework zur IT-Governance) nach. Denn nur durch die enge Verzahnung und Kombination von verschiedenen Konzepten können wir den komplexen Anforderungen an die Sicherheit Rechnung tragen und wir unseren Kunden heute und in Zukunft ein Höchstmaß an Sicherheit garantieren, fasst Andreas Bachmann abschließend das Sicherheitsverständnis der ADACAOR Hosting GmbH zusammen. Die Implementierung eines neues Passwort-Safes Die Aufnahme neuer Systeme in die bestehenden Überwachungsverfahren Evaluierung neuer Software- und Sicherheitssysteme Organisatorische Maßnahmen zur Erhöhung der Awareness für die IT-Sicherheit ANDREAS BACHMANN Geschäftsführer I CIO ADACOR Hosting GmbH Kaiserleistraße Offenbach am Main TELEFON TELEFAX INTERNET

11 11 Fachbeitrag von Thomas Wittbecker, CEO ADACOR Hosting GmbH Fallstricke bei der Berechnung von Verfügbarkeiten In der Praxis werden im Rahmen von Service Level Agreements (SLAs) häufig Aussagen zu Verfügbarkeiten gemacht, die technisch nicht verifiziert sind. Der folgende Beitrag zeigt anhand konkreter Beispiele, wie sich Verfügbarkeiten genau berechnen lassen. ππwährend der Angebotsphase stellt sich bei unseren Hostingprojekten häufig die Frage nach der Verfügbarkeit einzelner Services. In meinen Gesprächen mit den Kunden stelle ich dann häufig fest, dass die konkrete Vorstellung von Verfügbarkeit recht vage ist. Meistens wird die Verfügbarkeit eines Services mit einer Prozentzahl beschrieben. Dabei wird jedoch häufig außer Acht gelassen, dass bei der Berechnung dieser Prozentzahl, die dann in den Service Level Agreements (SLA) festgeschrieben wird, einige Fallstricke lauern. Solche Fallstricke sind beispielsweise der Bezugspunkt der Berechnung der Ausfallzeiten (Jahr oder Monat), die Definition des zugrundeliegenden Services (Server, Firewall, Netzanbindung) oder die potentielle Verknüpfung von Verfügbarkeiten. Wie lässt sich die Verfügbarkeit von IT- Plattformen sinnvoll berechnen? Häufig bekommen wir Anfragen mit der Aussage Wir hätten gerne einen Server mit der Verfügbarkeit von z. B. 99,5 %. OK, dann nehme ich das einfach so in ein Angebot auf, unterstelle es ist pro Jahr gemeint und bezieht sich ausschließlich auf den Server. Was dem Kunden jetzt wahrscheinlich nicht klar ist, ist, dass der Server durchaus einen ganzen Tag am Stück ausfallen kann und die Verfügbarkeit trotzdem eingehalten wird. Oder,

12 12 BTS NR. 21 dass die Verfügbarkeit des Servers nicht berührt ist, wenn die Firewall oder die Netzanbindung weg ist, der Server noch läuft, aber von außen nicht mehr erreichbar ist. Berechnung der Ausfallzeiten Eine gute Übersicht darüber, wie sich die prozentuale Verfügbarkeit eines Services in der Praxis auswirkt, bekommt man mit einer Tabelle der auf das Jahr gerechneten möglichen Ausfallzeiten. Verfügbarkeit (Prozentual) Minimale erwartete Verfügbarkeit (Stunden) Maximale erlaubte Ausfallzeit (Stunden) 99 % 8672,4 87,6 99,1 % 8681,16 78,84 99,2 % 8689,92 70,08 99,3 % 8698,68 61,32 99,4 % 8707,44 52,56 99,5 % 8716,2 43,8 99,6 % 8724,96 35,04 99,7 % 8733,72 26,28 99,8 % 8742,48 17,52 99,9 % 8751,24 8,76 99,99 % 8759,124 0,876 Alternativ kann man die Verfügbarkeit bei kritischen Projekten auch auf den Monat bezogen angeben. Z. B. 99,9 % Verfügbarkeit auf den Monat gerechnet, bedeutet einen Maximalausfall von 43:48 Min./Monat. Wenn man über die Verfügbarkeit eines Services spricht und prozentual ausdrückt, muss man sich also überlegen, ob man mit der maximal möglichen Ausfallzeit leben kann. Eine weitere Variante ist es, zusätzlich die maximale Ausfalldauer zu beschränken. Gerade bei nicht ganz so kritischen Projekten kann es sein, dass zwei oder drei Ausfälle pro Jahr nicht ins Gewicht fallen. Sie sollten jedoch nicht länger als vier Stunden am Stück dauern. Also definiere ich z. B. 99,5 % Verfügbarkeit pro Jahr bei maximal vier Stunden Ausfall am Stück. Worauf bezieht sich die Verfügbarkeit konkret? Eine weitere Quelle von Missverständnissen ist die Definition des Services. Nehmen wir an, einem Kunden wird die Verfügbarkeit eines Servers garantiert und er lässt von einer Webagentur eine Website auf diesem Server betreiben. Aus der Sicht des Betreibers ist der Server solange verfügbar, wie er einwandfrei läuft. Das kann auch dann der Fall sein, wenn der Webserver aus irgendeinem Grund kein http mehr ausliefert. Sprich, die Website nicht mehr erreichbar ist. Aus Kundensicht ist der Server dann aber nicht mehr verfügbar, weil seine Website weg ist. Da aber eine Agentur die Website betreibt und auch für die Konfiguration zuständig ist, kann der Hoster keine Verfügbarkeit oberhalb des reinen Betriebssystems garantieren. Als Webagentur oder Softwaredienstleister, die als Generalunternehmer gegenüber dem Kunden auftreten, ist zu beachten, dass die SLAs des Hosters nicht einfach an den Kunden für das Gesamtsystem weitergegeben werden können. Die Ausfallrisiken auf Appllikationsebene müssen ebenfalls bestimmt werden und zu den Ausfallrisiken von Seiten des Hosters hinzugerechnet werden. Dieses Beispiel zeigt, dass es wichtig ist, sich genau darüber zu verständigen, worauf sich die Verfügbarkeit bezieht. Aus Kundensicht ist es am sinnvollsten, wenn die Verfügbarkeit des kompletten Dienstes, der betrieben werden soll, vereinbart wird. Dies ist bei etwas komplexeren Projekten allerdings nicht mehr so einfach. Häufig wird hier dann ein Kompromiss geschlossen und der Dienstleister garantiert die Verfügbarkeit des gesamten Projektes, so wie der Kunde es möchte, aber eigentlich weiß zu diesem Zeitpunkt niemand, wie hoch die Verfügbarkeit wirklich ist. Einflüsse bei der Verknüpfung von Verfügbarkeiten Wenn wir über die Verfügbarkeit eines kompletten Dienstes reden, müssen wir uns Gedanken über die Verknüpfung und die Abhängigkeiten von verschiedenen Verfügbarkeiten machen. Ein kompletter Dienst setzt sich meistens aus mehreren Services zusammen. Ein einfaches Beispiel ist unsere hochverfügbare VMware-Umgebung. Durch die Möglichkeiten, die VMware in verteilten Umgebungen bietet, haben wir bei den einzelnen virtuellen Servern eine sehr hohe Verfügbarkeit. Die Verfügbarkeit liegt in etwa bei 99,99 % auf das Jahr. Dabei ist allerdings zu beachten, dass bei der Miete einer nackten VMware- Resource die Verfügbarkeit der laufenden Projekte auch noch von anderen Faktoren beeinflusst wird. 1. Die Verfügbarkeit bezieht sich nur auf die virtuelle Hardware. Bei einem Ausfall eines VMware-Knotens ist die virtuelle Hardware durch die Redundanzen und die Failover-Technologien innerhalb weniger Minuten wieder verfügbar. Nun booten die Server bei einem Failover einmal neu. Je nach Installation kann es einige Zeit dauern, bis alle Dienste wieder verfügbar sind. Dies ist dabei nicht in der Verfügbarkeit der VM abgebildet. 2. Die Verfügbarkeit der Applikationen auf dem virtuellen Server hängt in der Regel nicht nur von der virtuellen Hardware, sondern auch von der Verfügbarkeit des internen und externen Netzes ab. In unserem Beispiel sind beide mit ebenfalls 99,99 % sehr hoch verfügbar. Die für den Kunden aber letztendlich absolute Verfügbarkeit von Applikationen kann dabei maximal nur bei 99,97 liegen. Bei der Verknüpfung von Verfügbarkeiten reden wir von einer Addition des Ausfallrisikos. Bei einer Verfügbarkeit von

13 13 99,99 % liegt diese bei 0,01 %. Haben wir drei Services, die für die Gesamtverfügbarkeit verfügbar seien müssen, haben wir ein Ausfallrisiko von 3 x 0,01 % = 0,03 % Das ergibt eine Gesamtverfügbarkeit von 100 % 0,03 % = 99,97 %. Wenn in unserem Beispiel noch Risiken aus den betriebenen Applikationen hinzukommen, wird die realistische Verfügbarkeit einer Applikation auch unter optimalen Bedingungen sicher nicht über 99,95 % liegen. Redundanzen erhöhen die Verfügbarkeit Im umgekehrten Falle erhöhen wir die Verfügbarkeit über Redundanzen. Das funktioniert rechnerisch so: Habe ich zwei Systeme, die das gleiche leisten und jeweils eine Verfügbarkeit von 98 % haben und sich sofort voll ersetzen können, multipliziere ich die Ausfallrisiken miteinander 0,02 x 0,02. Denn es kommt nur zu einem kompletten Ausfall, wenn die zweite Ressource ebenfalls zur gleichen Zeit wie die erste Ressource ausfällt. Daher ergibt sich die hohe Verfügbarkeit von 99,9996 %. Die Tücke liegt jetzt in der praktischen Umsetzung. Wenn wir in diesem Beispiel über Dateien reden, die in zwei unterschiedlichen Rechenzentren liegen (z. B. Sicherheitskopien) und diese nicht abgeglichen oder verändert werden müssen und der Zugriff völlig unabhängig erfolgen kann, dann hat man eine Verfügbarkeit von 99,9996 % auf diese Daten. Das passiert in der Praxis allerdings sehr selten. Ein typischer Einsatz von Redundanzen ist z. B. ein Datenbank-Cluster. Um die Verfügbarkeit eines Datenbankservers zu erhöhen, wird ein zweiter Server daneben gestellt. Gehen wir hier von einer einfachen Aktiv/Passiv- Lösung aus. Wenn der aktive Datenbankserver ausfällt, übernimmt der passive und wird zum aktiven. Damit das Konstrukt funktionieren kann, müssen die Daten kontinuierlich synchronisiert werden. Dieser Prozess ist nun aber selber eine Fehlerquelle und bringt eine zusätzliche Ausfallwahrscheinlichkeit für das System mit. Außerdem benötigt man einen Failover-Mechanismus, der den Übergang von dem einen auf den anderen Server regelt. Auch dieser hat wieder eine Ausfallwahrscheinlichkeit. Dazu kommen noch Ausfallrisiken, die durch die gemeinsame Umgebung geprägt sind: Stromversorgung, internes und externes Netz, Klima usw. Man sieht hier, dass die Bestimmung der wirklichen Verfügbarkeit der redundanten Lösung alles andere als trivial ist. Im nächsten Schritt kann man dann sagen, wir packen den zweiten Server in ein anderes Rechenzentrum und haben damit eine viel höhere Verfügbarkeit, weil die gemeinsamen Risiken dann entfallen. Dies ist grundsätzlich richtig, aber die Synchronisation der Daten wird erheblich schwieriger, da es zwischen den beiden Rechenzentren zu Latenzen kommt. Außerdem muss die Verbindung zwischen den beiden Rechenzentren absolut stabil sein. Kommt es jetzt zu kleinen Problemen, weil die Verbindung abbricht oder die Latenzen zu groß sind, hat das wieder massive Auswirkungen auf die Verfügbarkeit der Lösung. Gerade bei großen Datenbank-Clustern, die als zentrale Lösung für Unternehmensdatenbanken dienen, kann es sein, dass die höhere Verfügbarkeit mittels Redundanzen durch eine deutlich höhere Komplexität der Gesamtarchitektur und den dadurch entstehenden Fehlern konterkariert wird. Im Problemfall kann die Fehlersuche bei einer großen und komplexen zentralen Lösung sehr viel länger dauern, als bei einfachen Architekturen. Das kann zu längeren Ausfällen und somit zu einer schlechteren Verfügbarkeit führen, auch wenn die Lösung redundant ausgelegt ist. Umgang mit SLAs In der Praxis werden häufig im Rahmen von SLAs Aussagen zu Verfügbarkeiten gemacht, die technisch nicht verifiziert sind. Die gelten in der Praxis dann nur solange, wie alles rund läuft, und sind nicht an Worst-Case-Szenarien ausgerichtet. Als Kunde muss man sehr genau hinterfragen, unter welchen Bedingungen die Verfügbarkeit gilt und welche Risiken berücksichtigt werden. Katastrophenszenarien werden häufig nicht mit berücksichtigt. Sollte eine Flugzeug auf das Rechenzentrum stürzen, hat man keine 99,9 % Verfügbarkeit mehr, sondern eher für lange Zeit einen 100 % Ausfall. Zugegeben, das passiert auch selten, genauso wie starke Erdbeben in Deutschland oder Terrorangriffe. Aber man muss im Hinterkopf haben, dass solche Totalausfallrisiken nicht abgedeckt sind. Es sei denn, der Anbieter betreibt das Projekt komplett verteilt an zwei Standorten, was in der Regel im Standard aus Kostengründen nicht gemacht wird. Häufig werden SLAs auch einfach aus einer kaufmännischen Überlegung heraus definiert und der Anbieter lebt damit, dass bei jedem x-ten Kunden die SLAs nicht eingehalten werden können. Solange keine empfindlichen Vertragsstrafen vereinbart sind, ist das meistens kein großes Problem für den Anbieter. Insofern ist immer zu hinterfragen, wie belastbar die SLAs in der Praxis sind. THOMAS WITTBECKER Geschäftsführer I COO ADACOR Hosting GmbH Kaiserleistraße Offenbach am Main TELEFON TELEFAX INTERNET

14 14 BTS NR. 20 Effektive Weiterbildung schützt vor Hackerangriffen Hackattack - Systemadministra- toren von ADACOR besuchen Hacking-Seminar Weiterbildung zahlt sich aus! Für Mitarbeiter und Unternehmen. Daher bietet die ADACOR nicht nur ihren Angestellten vielseitige Möglichkeiten zur beruflichen Weiterentwicklung, sondern setzt selbst auf qualifiziertes Personal. Z. B. in der IT-Sicherheit. Damit die Administratoren die Systeme und Netzwerke bestmöglich schützen können, müssen sie diesbezüglich stets auf dem neuesten Stand der Technik sein. In diesem Zusammenhang spielt das Thema Absicherung vor Hacking eine wichtige Rolle, sodass die ADACOR Ende 2013 zwei Mitarbeiter zum Hacking-Pro-Seminar der Hackattack IT Security GmbH entsandte. Dieser Artikel berichtet von ihren Erfahrungen.

15 15 ππim März veröffentlichte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) die Ergebnisse einer Befragung von mehr als 400 deutschen Unternehmen zum Thema Cyberangriffe. Danach verzeichnete fast jedes dritte Unternehmen in den Jahren 2012 und 2013 Angriffe auf seine IT-Systeme. Überraschend: Knapp 60 % der betroffenen Unternehmen erklärten, dass die Angriffe direkt vor Ort erfolgten. Z. B. wurden Daten gezielt gestohlen oder Schadprogramme per USB-Stick eingeschleust. Bei 30 % der Firmen erfolgten die Angriffe über das Internet. Wirksamer Schutz vor Hacking Unabhängig davon, ob der Angriff über das Web oder einen mit Malware infizierten USB-Stick erfolgt, wenn es den Cyberkriminellen gelingt, sich Zugriff auf Teile der IT-Infrastruktur einer Firma zu verschaffen, dann können sie Passwörter knacken, Geschäftsgeheimnisse entwenden oder Administratorenkonten hacken und das gesamte IT-System kompromittieren. Um sich vor äußeren Angriffen durch unbefugte Dritte zu schützen, lohnt sich die Investition in diverse Sicherheitsmaßnahmen. Diese schließen die Identifizierung sicherheitskritischer Daten genauso mit ein wie die regelmäßige Sicherheitsüberprüfung aller IT-Systeme oder die Sensibilisierung und Qualifizierung der Mitarbeiter durch Weiterbildung. Für die ADACOR gehören entsprechende Mitarbeiterschulungen seit jeher zum festen Bestandteil des Sicherheitskonzepts. So schickt der Hosting-Experte seine Systemadministratoren regelmäßig zu Hacking-Seminaren. Dort erfahren die IT- Fachleute, welche Techniken, Vorgehensweisen und Tools die Hacker verwenden, um sich Zugriff auf Firmensysteme und Netzwerke zu verschaffen. Denn nur wer die aktuellen Angriffstechniken sowie seine eigenen Schwachstellen kennt, kann sich wirksam dagegen wehren. Hacking Pro: Penetrationstests wissenswert und praxisnah Ende 2013 besuchten zwei ADACOR- Mitarbeiter die Hacking-Pro-Schulung der Hackattack Security GmbH. Diese bietet geballtes Wissen und praxisnahe Hacking-Simulation vier Tage lang, sieben Stunden täglich. Das konkrete Ziel legte Kursleiter Alfred Grabner, der ebenfalls Geschäftsführer von Hackattack ist, gleich zu Beginn fest: Zum einen wies er auf inhaltliche Highlights wie das Hacking von Firewalls, LANs und Servern sowie die Schwachstellenermittlung in den Netzwerk- und Software-Systemen hin. Zum anderen informierte er die Teilnehmer, dass die Praxis im Mittelpunkt stehen und sich die Theorie auf das Notwendigste beschränken wird. Tag 1: Social Engineering, Web- und Firewall-Hacking Bereits das Szenario am ersten Tag wies eine enge Beziehung zur Praxis auf: Die Teilnehmer wurden von der Fantasy GmbH für die Überprüfung der IT-Sicherheit des Unternehmens als Penetrationstester engagiert. Die Modellinfrastruktur ließ dabei keine Wünsche offen. Sämtliche Technik befand sich auf dem neuesten Stand: Active Directory Windows Server 2008/2012, Windows 7 Clients, SAP-System, Cisco VLAN sowie aktuelle Firewall-Systeme. Um festzustellen, wie sicher das IT- Netzwerk der Fantasy GmbH ist, sollten die Teilnehmer Mittel und Methoden einsetzen, die ein Hacker normalerweise anwenden würde, um unbefugt in ein System einzudringen. Konkret umfasste der Auftrag fünf Schritte: 1. Durchdringen der Firewall 2. Überlistung der DMZ (Demilitarized Zone) 3. Eindringen in das Local Area Network 4. Hacking der Windows-2012-Domäne und der Administratorenkonten 5. Austricksen der ERP-Server und der verschiedenen Virtual Local Area Networks Während der Zeit, in der die Schulungsbesucher diese Aufgaben lösten, wurden sie kompetent von Alfred Grabner begleitet. 1 Die DMZ ist ein isoliertes Zwischennetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server. Firewalls schirmen die in die DMZ eingebundenen Systeme vor anderen Netzen (z. B. Internet, LAN) ab. Diese Trennung ermöglicht den Zugriff auf öffentliche Dienste über das Internet und schützt gleichzeitig das LAN vor unberechtigten Zugriffen von außen. (Quelle: 2 ERP steht für Enterprise Resource Planning, d. h. die Einsatzplanung der in einem Unternehmen vorhandenen Ressourcen (Quelle: www. wikipedia.de). Hier ist die eingesetzte Software gemeint.

16 16 BTS NR. 21 Dieser stellte z. B. nebenher verschiedene Hacking-Programme und Penetrationstools wie Maltego, Nessus, OpenVAS oder Armitage vor. Ebenso spielte das Thema Social Engineering am ersten Tag eine Rolle. Die Teilnehmer lernten, wie man mittels Sammlung von unternehmens- und personenbezogenen Informationen im Internet Passwortlisten personalisieren kann. In diesem Zusammenhang wurde auch auf die Rolle sozialer Netzwerke wie Facebook und Google hingewiesen. Denn über diese Plattformen bzw. die entsprechenden Nutzerprofile lassen sich Informationen zu Hobbys, Lebenspartnern, Kindern, Freunden, Telefonnummern und Geburtstagen leicht herausfinden. Diese Daten können wiederum Rückschlüsse auf Passwortkombinationen geben. Ein weiterer Punkt auf der Tagesordnung lautete Web Hacking mit automatisiertem Web Security Scanner. Hier erfuhren die Teilnehmer, wie man mit einem Scanner, mit dem man normalerweise Webapplikationen auf ihre Sicherheit testet, Schwachstellen ausnutzt und hackt. Eine zusätzliche Angriffsvariante, über die gesprochen wurde, nennt sich DNS Zone Stealing (Zonendiebstahl des Domain Name Systems). Hier bringt der Angreifer eine nicht autorisierte Übertragung der gesamten DNS-Zonendatenbank in Gang. Die daraus gewonnenen Informationen werden anschließend für Attacken auf den DNS-Cache der anfragenden DNS-Clients genutzt. Gelingt es dem Kriminellen, sich direkt zwischen den Client und den Server zu hacken, kann er den gesamten Daten- und Nachrichtenverkehr zwischen beiden Systemen abfangen und manipulieren, z. B. durch das Umleiten einer Domain auf eine Fake-Seite, um darüber Nutzerdaten abzufangen. Der erste Schulungstag endete mit der Antwort auf verschiedene Fragen: Z. B wie man mittels Vulnerability Scans, d. h. durch das softwarebasierte Scannen eines Computers oder Netzwerks, Schwachpunkte in Servern und Firewalls erkennt oder wie man mittels Pivoting eine Firewall überwinden und dadurch Zugriff auf die DMZ erhalten kann. Tag 2: Exploiting PRO Der zweite Tag des Hacking-Pro-Seminars stand im Zeichen des Themas Exploiting, d. h. die systematische Möglichkeit, Schwachstellen auszunutzen, die bei der Entwicklung eines Programms nicht berücksichtigt wurden. Um das Thema besser zu veranschaulichen, stellte Alfred Grabner mehrere Windows Exploitings bei Windows Servern vor und erklärte wichtige Funktionen und Zugriffsmöglichkeiten mithilfe des Metasploit-Projekts. Anschließend probierten die Penetrationstester die Exploitings selbst aus, indem sie einen Angriff auf die DMZ-Server der Fantasy GmbH starteten. Nachdem die Server erfolgreich gehackt waren, lag schon das nächstes Ziel vor Augen: ein weiterer Exploit-Angriff auf einen FTP-Server (FTP: File Transfer Protocol). Als die Maschine überlistet war, konnten die Teilnehmer auf vertrauliche Mitarbeiterinformationen zugreifen und ihre Passwortlisten mit diesen weiter personalisieren. Für das finale Massen-Exploiting im Intranet der Fantasy GmbH per Drag-&- Drop-Technik kam Armitage zum Einsatz. Hierbei entdeckten die Tester innerhalb des LANs weitere Systeme, welche sich als Angriffsziele eigneten. Besonderes Interesse weckten die Windows Active Directory Server. Denn nachdem die Passwörter aus der Windows Active Directory dieser Systeme gehackt waren, lag sogar der Zugang auf einzelne Mitarbeiterpasswörter frei. Tag 3: Interne Systeme Am dritten Tag drangen die Teilnehmer noch tiefer in die interne Infrastruktur der Fantasy GmbH ein. Beim Tagesziel ging es um die Infiltrierung der ERP-Systeme am Beispiel von SAP. In diesem Zusammenhang spielte auch der Online-Zugriff über die DMZ in das LAN mittels Reverse Proxy Chains eine Rolle. Die Probanden tunnelten dabei die Ports bestimmter interner Systeme zu den Client-Systemen. Anschließend lernten sie Techniken kennen, mit denen Angreifer mit normalen Nutzerprivilegien erweiterte Administratorenrechte erreichen können (Privilege Escalation). Weiterer Tagesordnungspunkt war 1 Bei einem Pass-the-Hash-Angriff meldet sich der Angreifer statt mit einem Klartext-Passwort mit einem Passwort-Hash an. So kann sich der Angreifer den Zugriff auf einen Server verschaffen, ohne das Passwort als Klartext zu kennen. Zusätzlich kann man die gestohlenen Hash-Zugangsdaten auf weitere Systeme und Dienste übertragen und sich damit weitreichende Zugriffsmöglichkeiten verschaffen. (Quelle:

17 17 mitzuschreiben. Die Teilnehmer erfuhren außerdem, wie einfach es ist, Telefonate des Standards DECT (Digital Enhanced Cordless Telecommunications) abzuhören, und welche Mobile Devices sich am besten zum Hacken eignen. Bei der finalen Capture the Flag Challenge konnten schließlich alle Teilnehmer zeigen, was sie gelernt hatten. Bei diesem Wettbewerb traten die verschiedenen Unternehmensteams gegeneinander an. Bei der Lösung themenbezogener Aufgaben konnten diese Flaggen (engl. flags) erbeuten, die Punkte brachten. Die Teilnehmer der ADACOR waren die Ersten, die CTF erfolgreich beendeten. Dafür gab es ein dickes Lob von Kursleiter Alfred Grabner und zum Abschluss für die erfolgreiche Teilnahme ein Zertifikat für alle. der unberechtigte Zugriff auf ein Windows 7 System mittels Pass-the-Hash- Methode, bei der die Zugangsdaten von einem Rechner entwendet und für die Authentifizierung an anderen Zugangspunkten in einem Netzwerk eingesetzt werden. Überdies gehörten die Man-in-the-Middle-Attacke und der Brute-Force-Angriff zum Themenspektrum des dritten Tages. Hier lernten die Teilnehmer, wie der Angreifer beim Mittelsmann-Angriff die vollständige Kontrolle über den Nachrichten- und Datenverkehr zwischen zwei oder mehreren Kommunikationsteilnehmern übernehmen und manipulieren kann. Beim Brute-Force-Angriff auf Terminal Server und Browser hingegen versuchen die Kriminellen, Passwörter mithilfe einer Software zu knacken, welche in schneller Abfolge unzählige Buchstaben-Zahlen- Zeichenkombinationen ausprobiert. Abschließend wurde das Thema Browser-Hijacking durchgenommen. Dabei ging es um die Übernahme einer fremden Browser Session, bei welcher der Angreifer die Startseite ändert bzw. die Suchseite eines Browsers auf eine vom Nutzer nicht gewünschte Seite durch ein bösartiges Manipulationsprogramm austauscht. Tag 4: Specials und Capture The Flag (CTF) Am letzten Schulungstag ging es um das VLAN Hopping sowie das Hacking von WLANs mittels zusätzlichem Rogue Access Point. Dieser sitzt an der Schnittstelle zwischen LAN und WLAN, sodass der Angreifer ungestört Informationen aus den internen Datenübertragungen sammeln und nach außen weiterleiten kann. Darüber hinaus informierte die Schulung über den Einsatz von Hardware- und Software-Keyloggern in der Praxis. Hacker verwenden diese gerne, um persönliche Daten wie PIN oder Kennwörter Es hat sich gelohnt Die Mitarbeiter der ADACOR, die am Hacking-Pro-Seminar teilnahmen, sind sich einig: Der Besuch hat sich gelohnt! Durch die Teilnahme an den Hackattack- Workshops wurde meine Awareness so geschärft, dass ich im Tagesgeschäft bei der Konfiguration und Administration der IT-Systeme den Fokus stärker auf die Systemsicherheit setze und diese auch dem Team gegenüber kommuniziere. Viele interne Prozesse können so immer wieder auf die aktuellen Gegebenheiten angepasst und erweitert werden, erklärt Alexander Wichmann. Sein Chef ADACOR- CTO Patrick Fend zeigt sich ebenso zufrieden: Seit meiner ersten Teilnahme an einer Hackattack-Schulung ist mein Bewusstsein für die Gefahren, die von Hackern ausgehen, geschärft. Im Unternehmen haben wir seitdem bereits etliche Sicherheitskomponenten etabliert, die es Hackern schwer machen, unsere Systeme zu infiltrieren. ALEXANDER WICHMANN Systemadministrator ADACOR Hosting GmbH Kaiserleistraße Offenbach am Main TELEFON TELEFAX INTERNET

18 18 BTS NR. 21

19 19 Sicherheitssoftware auf dem Prüfstand Netsparker oder Acunetix: ADACOR führt Vergleichstest von Web Vulnerability Scannern durch Wie sicher der eigene Internetauftritt gegen Hackerangriffe geschützt ist, lässt sich mithilfe eines Web Vulnerability Scanners herausfinden. Die ADACOR setzt in diesem Bereich u. a. erfolgreich die Software Acunetix ein. Aufgrund einer Empfehlung von einem Sicherheitsberater probierten die Softwareentwickler des Hosting-Spezialisten vor kurzem eine Variante aus: Netsparker. Dieser Artikel handelt vom ersten Teil des Vergleichstests zwischen den Produkten. ππweb Vulnerability Scanner (WVS) sind Programme, die eine Internetanwendung bzw. -seite automatisiert auf bekannte Schwachstellen und Sicherheitslücken überprüfen. Die Scanergebnisse bilden die Basis für entsprechende Maßnahmen, mit denen sich die aufgedeckten Sicherheitslücken schließen lassen. Meistens testet die Software nicht nur die Anwendung selbst, sondern sie deckt auch Schwachstellen im Webserver auf und überwacht allgemeine sicherheitsrelevante Einstellungen. So zeigt das Tool z. B. automatisch an, wenn bei der Einbindung von Log-in-Formularen auf einer Website der Einsatz des SSL-Netzwerkprotokolls (SSL: Secure Sockets Layer) fehlt. Dieses ist jedoch Grundvoraussetzung für eine sichere Datenübertragung. Nutzen eines Web Vulnerability Scanners Die Sicherheit einer Internetanwendung hängt von verschiedenen Faktoren ab: z. B. vom Alter, von der Größe und Komplexität der Seite oder von den eingesetzten Frameworks und Webservern. Aufgrund der zahlreichen Einflussgrößen wäre es unwirtschaftlich, würde man nach jedem Update oder Deployment auf der gesamten Anwendung eine Sicherheitsüberprüfung per Hand ausführen. Ohnehin hätten Hacker immer noch genügend potenzielle Angriffsmöglichkeiten sowie daraus resultierende Kombinationen, als dass ein solcher Aufwand personell abdeckbar wäre. Ein Web Vulnerability Scanner bietet deshalb für diese Themenstellung die richtige Lösung. Prüfungskriterien im Vergleichstest Bei dem nachfolgenden Vergleichstest stand die Prüfung folgender drei Kriterien im Fokus: 1. Zuverlässigkeit 2. Flexibilität 3. Funktionsumfang Grundsätzlich ist es nicht sinnvoll, einen Web Vulnerability Scanner in einer Produktivumgebung zu testen, weil dann womöglich die Datenbank oder andere kritische Teile der getesteten Webseite zerstört werden würden. Aus diesem Grund sollten die Vulnerability Scans in einer sicheren Testumgebung ausgeführt werden, die man problemlos in ihren ursprünglichen Zustand zurückversetzen kann. Bezogen auf den Testablauf ließen die Programmierer die Scanner zunächst gegen die von Acunetix zur Verfügung gestellte und oft empfohlene Testseite vulnweb.com laufen. In einem zweiten Schritt werden die Tools zusätzlich auf einer selbst eingerichteten Umgebung (OWASP Mutillidae 1 ) geprüft, um in einer kontrollierten, anbieterunabhängigen Umgebung präzisere Testergebnisse zu erhalten. 1 Das Mutillidae-Projekt simuliert eine Webanwendung, in welche die in der OWASP-Top-10-Liste aufgelisteten Sicherheitsschwachstellen eingebaut sind (s. a. https://www.owasp.org/index.php/top_10_2013-top_10).

20 20 BTS NR. 21 Netsparker: Web Vulnerability Scanner mit False Positive-Erkennung Die Prüfungskriterien 1. Zuverlässigkeit FAKTEN ENTWICKLER Netsparker Ltd. Der Test dauerte bei Requests etwa fünfeinhalb Stunden. In diesem Zeitraum hat Netsparker 21 kritische, 24 wichtige, vier mittelschwere, acht niedrige und zehn informelle Funde angezeigt. 2. Flexibilität WEBSITE https://netsparker.com PREIS Standard: Professional:5.950 AKTUELLE VERSION ZIELSYSTEM LIZENZ Unbekannt Jährlich Sowohl die Oberfläche als auch der Konfigurationsumfang von Netsparker überzeugen durch eine intuitive und übersichtliche Handhabung, die besonders unerfahrenen Nutzern den Vorteil bietet, das Tool auch mit wenig Erfahrung mit Penetrationstests effektiv bedienen zu können. Bereits die Standardinstallation von Netsparker ermöglicht den direkten Anschluss des Scanners an das weit verbreitete Jira-Ticketsystem von Atlassian. Mithilfe der webbasierten Anwendung kann ein Ticket mit allen nötigen Einstellungen wie zugewiesen an oder Kategorie direkt erzeugt werden, sobald der Scanner eine Schwachstelle oder Sicherheitslücke findet. Ein großer Nachteil bei der Ausführung von Netsparker war die extrem lange Testdauer. Der Scan dauerte bis zu acht Stunden lang. Das lag sicher daran, dass die Software versuchte, Blind-SQL-Injections 3 gegen die Testseite auszuführen. In der Probeversion von Netsparker ließ sich dieses Scan-Template jedoch nicht abschalten. Es ist möglich, das Scanprofil mit Log-in-Daten und/oder einem Custom-Cookie zu speisen. Damit lassen sich beispielsweise auch Seiten prüfen, die sich hinter dem Log-in befinden. Des Weiteren kann man die Scans zu festen Zeiten mit bestimmten Scanprofilen planen. Die verschiedenen Templates lassen sich über ein Menü einzeln an- und abschalten. Im Test reagierte diese Funktion allerdings nicht, eventuell lag dies an der Evaluationsversion der Software. 3. Funktionsumfang Bis auf den eigentlichen Vulnerability Scan bietet Netsparker keine weiteren Funktionen. Informationen zu den Testumgebungen In einem ersten Schritt erfolgte der Scan (Netsparker und Acunetix) gegen testphp.vulnweb.com. vulnweb.com OWASP Mutillidae 2 2 URI testphp.vulnweb.com projects/mutillidae/ HERAUSGEBER Acunetix OWASP TYP Remote-hosted (durch Acunetix) Self-hosted VERSION N/A ANZAHL VULNERABILITIES Unbekannt Ca Uniform Resource Identifier 2 Bei einer SQL-Injection nutzt der Angreifer eine Sicherheitslücke im Zusammenhang mit einer SQL-Datenbank aus. Diese entsteht durch fehlerhafte Maskierung oder Überprüfung von Metazeichen bei der Nutzereingabe. Der Hacker versucht über die Anwendung, die den Datenbankzugriff steuert, eigene Datenbankbefehle einzuschleusen. Bei einer Blind-SQL-Injection liefert der Server keine Fehlermeldung, die besagt, ob die Abfrage erfolgreich war oder nicht. Anhand von Anzeichen wie unterschiedliche Fehlermeldungen oder Antwortzeiten des Servers kann ein Angreifer trotzdem feststellen, ob eine Abfrage erfolgreich war oder einen Fehler zurückmeldet (Quelle: 3 SOAP (ursprünglich für Simple Object Access Protocol) ist ein Netzwerkprotokoll, mit dessen Hilfe Daten zwischen Systemen ausgetauscht und Remote Procedure Calls durchgeführt werden können. SOAP ist ein industrieller Standard des World Wide Web Consortiums (W3C). (Quelle: www. wikipedia.de)

expect more Verfügbarkeit.

expect more Verfügbarkeit. expect more Verfügbarkeit. Erfolgreiche Managed-Hostingund Cloud-Projekte mit ADACOR expect more Wir wollen, dass Ihre IT-Projekte funktionieren. expect more expect more Verlässlichkeit.. Seit 2003 betreiben

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar.

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar. Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar. www.schleupen.de Schleupen AG 2 Herausforderungen des Betriebs der IT-Systeme IT-Systeme werden aufgrund technischer und gesetzlicher

Mehr

EDV-Dienstleistung für Industrie und Handel

EDV-Dienstleistung für Industrie und Handel EDV-Dienstleistung für Industrie und Handel Wir vereinfachen Ihre Geschäftsprozesse Die Bedeutung der elektronischen Datenverarbeitung, insbesondere für Klein- und mittelständische Unternehmen, nimmt ständig

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Complex Hosting. Whitepaper. Autor.: Monika Olschewski. Version: 1.0 Erstellt am: 14.07.2010. ADACOR Hosting GmbH

Complex Hosting. Whitepaper. Autor.: Monika Olschewski. Version: 1.0 Erstellt am: 14.07.2010. ADACOR Hosting GmbH Complex Hosting Autor.: Monika Olschewski Whitepaper Version: 1.0 Erstellt am: 14.07.2010 ADACOR Hosting GmbH Kaiserleistrasse 51 63067 Offenbach am Main info@adacor.com www.adacor.com Complex Hosting

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Unsere Strategie - ASP

Unsere Strategie - ASP Unsere Strategie - ASP WAS IST ASP? ASP ist die Abkürzung für Application Service Providing und bedeutet die Bereitstellung und Nutzung von Programmen über das Internet. Anbieter einer ASP-Lösung ist der

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

Sicher ins E-Business. E-Security Lösungen

Sicher ins E-Business. E-Security Lösungen Sicher ins E-Business E-Security Lösungen Die E-Security Services Sicherheit erreicht man nicht, indem man Zäune errichtet, Sicherheit gewinnt man, indem man Tore öffnet. Urho Kekkonen (1900-86), finn.

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Das Thema Datenschutz hatte bereits in der Entwicklungs- und Konzeptionsphase

sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Das Thema Datenschutz hatte bereits in der Entwicklungs- und Konzeptionsphase LITTLE BIRD - Sicherheits- und Datenschutzkonzept LITTLE BIRD bietet seinen Kunden und Nutzern größtmöglichen Schutz für sensible personenbezogene Daten, nach aktuellen Erkenntnissen im IT- Sicherheitsbereich.

Mehr

Ihr Weg zu mehr Sicherheit

Ihr Weg zu mehr Sicherheit Ihr Weg zu mehr Sicherheit IT-Sicherheitsproblem Für IT-Sicherheit wird nicht genug getan, denn... Zwei von fünf Firmen sind pleite, wenn sie ihre Daten verlieren (CIO, 11/2001) Jährliche Steigerungsraten

Mehr

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Prüfbericht EgoSecure ENDPOINT Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Das Unternehmen EgoSecure verspricht mit seinem Produkt, EgoSecure Endpoint, die Implementierung von

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

Windows Azure Ihre Plattform für professionelles Cloud Computing

Windows Azure Ihre Plattform für professionelles Cloud Computing Windows Azure Ihre Plattform für professionelles Cloud Computing Eine Plattform für Hochverfügbarkeit und maximale Flexibilität und ein Partner, der diese Möglichkeiten für Sie ausschöpft! Microsoft bietet

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten Die Kunst, sicher die Effizienz zu steigern: i GmbH Vorstellung des Unternehmens unabhängiges, privates Beratungsunternehmen seit 2002 Spezialisierung auf: Sicherheitsberatung Konzepterstellung und überprüfung

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Produkte und Systeme der Informationstechnologie ENERGIE- MANAGEMENT

Produkte und Systeme der Informationstechnologie ENERGIE- MANAGEMENT Produkte und Systeme der Informationstechnologie ENERGIE- MANAGEMENT Folie 1 VDE-Symposium 2013 BV Thüringen und Dresden Virtualisierung von Leittechnikkomponenten Andreas Gorbauch PSIEnergie-EE Folie

Mehr

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter 19. Mai 2014 Handwerkskammer OWL zu Bielefeld Begriffsklärungen zur IT-Sicherheit Informationssicherheit -> Schutzziele für Daten hinsichtlich

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Reale Angriffsszenarien Clientsysteme, Phishing & Co.

Reale Angriffsszenarien Clientsysteme, Phishing & Co. IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Clientsysteme, Phishing & Co. hans-joachim.knobloch@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Viren

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Klein Computer System AG. Portrait

Klein Computer System AG. Portrait Klein Computer System AG Portrait Die Klein Computer System AG wurde 1986 durch Wolfgang Klein mit Sitz in Dübendorf gegründet. Die Geschäftstätigkeiten haben sich über die Jahre stark verändert und wurden

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

DATENBLATT. Deutsche IT-Monitoring Software. Fon: 0 68 81-9 36 29 77 Fax: 0 68 81-9 36 29 99. Koßmannstraße 7 66571 Eppelborn

DATENBLATT. Deutsche IT-Monitoring Software. Fon: 0 68 81-9 36 29 77 Fax: 0 68 81-9 36 29 99. Koßmannstraße 7 66571 Eppelborn DATENBLATT Datenblatt IT Monitoring mit bedeutet Monitoring von Hardware, Software, Netzwerke und Kommunikation. bietet Lösungsansätze, mit denen Partner die Anforderungen ihrer Kunden optimal bedienen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

SLA Varianten für KMU

SLA Varianten für KMU Übersicht Die Anforderungen an die Verfügbarkeit einer IT Infrastruktur sind in den letzten Jahren signifikant gestiegen. Fallen Applikationen oder gar die ganze IT aus, ist dies immer mit hohen Kosten

Mehr

DAS INTERNET IST WIE EINE WELLE: ENTWEDER, MAN LERNT AUF IHR ZU SCHWIMMEN, ODER MAN GEHT UNTER Bill Gates

DAS INTERNET IST WIE EINE WELLE: ENTWEDER, MAN LERNT AUF IHR ZU SCHWIMMEN, ODER MAN GEHT UNTER Bill Gates DAS INTERNET IST WIE EINE WELLE: ENTWEDER, MAN LERNT AUF IHR ZU SCHWIMMEN, ODER MAN GEHT UNTER Bill Gates 57 MILLIONEN USER IN DEUTSCHLAND KÖNNEN SICH NICHT IRREN... In nahezu allen Bereichen des täglichen

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

StorageCraft ImageManager ist eine voll ausgereifte Ergänzung zu

StorageCraft ImageManager ist eine voll ausgereifte Ergänzung zu Produktszenarien Was kann das Produkt für Sie tun? ist eine voll ausgereifte Ergänzung zu StorageCraft ShadowProtect, mit deren Hilfe Sie von einer einfachen Backup- und Wiederherstellungslösung zu einer

Mehr

Daten Monitoring und VPN Fernwartung

Daten Monitoring und VPN Fernwartung Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

SLA Varianten für KMU

SLA Varianten für KMU 1 Übersicht Die Anforderungen an die Verfügbarkeit einer IT Infrastruktur sind in den letzten Jahren signifikant gestiegen. Fallen Applikationen oder gar die ganze IT aus, ist dies immer mit hohen Kosten

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke

Testen von System- & Netzwerksicherheit. Seminar IT-Security HU Berlin 2004, Andreas Dittrich & Philipp Reinecke 1 Testen von System- & Netzwerksicherheit 2 Gliederung Sicherheit im Allgemeinen Testbereiche Methodik und Standards Hilfsmittel im Speziellen nessus nmap Szenario im praktischen Teil 3 Fragen zur Sicherheit

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Für alle Unternehmensgrößen das perfekte WLAN-Management Cloud NetManager

Für alle Unternehmensgrößen das perfekte WLAN-Management Cloud NetManager Für alle Unternehmensgrößen das perfekte WLAN-Management Controllerloses WLAN-Management WLAN Management als SaaS oder als virtuelle Maschine Perfekt für Filialisten Automatisierte Inbetriebnahme ohne

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

1. Geschäftsführung einbinden

1. Geschäftsführung einbinden Der best practice Stufenplan für mehr IT-Sicherheit im Unternehmen. Hiermit analysieren Sie Schritt für Schritt den individuellen Bedarf und können den Schutz Ihres Unternehmens darauf abstimmen. 1. Geschäftsführung

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk So gelingt die sichere Kommunikation mit jedem Empfänger Andreas Richter EVP Marketing & Product Management GROUP Business Software AG E-Mail-Verschlüsselung ist kein Hexenwerk Datenschutz im Fokus der

Mehr

Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen

Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen Private Cloud Synchronisation Online-Zusammenarbeit Backup / Versionierung Web Zugriff Mobiler Zugriff LDAP / Active Directory Federated

Mehr

Administrator-Anleitung

Administrator-Anleitung Administrator-Anleitung für die Typ 1 Installation der LEC-Web-Anwendung auf einem Microsoft Windows Netzwerkserver Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU)

Mehr

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover IT - Sicherheit Maximilian Zubke zubke@iwi.uni-hannover.de Gäste - & Doktorandenkolloquium 17. Juli 2008 Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

VoIPcom Supportpakete

VoIPcom Supportpakete VoIPcom Supportpakete bietet drei verschiedene Supportpakete an. Anrecht auf das Supportpaket Silber haben grundsätzlich alle Kunden, welche eine VoIPcom Telefonanlage im Einsatz haben. Für Firmenkunden

Mehr

IT Security-Workshop Informationen Trainingszentrum Cyberabwehr!

IT Security-Workshop Informationen Trainingszentrum Cyberabwehr! IT Security-Workshop Informationen Trainingszentrum Cyberabwehr! Dauer des Workshops: 2 Tage Termin: 22. - 23. Juni 2016 Vorkenntnisse: Grundlagen Netzwerk und Interesse an neuen IT-Sicherheitsthemen Ziel

Mehr

Google Analytics Premium FAQ

Google Analytics Premium FAQ Google Analytics Premium FAQ Inhaltsverzeichnis: Allgemein... 2 Datenschutz... 2 Features... 3 Service Level Agreement und Support... 3 Anforderungen und weiteres... 4 KONTAKT... 5 1 Allgemein Wird Google

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION.

OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION. RECHENZENTREN EASY COLOCATE OPTIMIEREN SIE IHRE IT-INFRASTRUKTUR. SICHERE RECHENZENTREN IN DER REGION. Eine optimale IT-Infrastruktur ist heute ein zentraler Faktor für den Erfolg eines Unternehmens. Wenn

Mehr

Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung

Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung Martin Mink Universität Mannheim 10. Deutscher IT-Sicherheitskongress des BSI Bonn, 23. Mai 2007 Vorstellung Lehrstuhl

Mehr