Introduction to Security VO 04: Identität, Authentifizierung, Zugriffskontrolle

Größe: px
Ab Seite anzeigen:

Download "Introduction to Security VO 04: Identität, Authentifizierung, Zugriffskontrolle"

Transkript

1 Introduction to Security VO 04: Identität, Authentifizierung, Zugriffskontrolle Florian Fankhauser INSO Industrial Software Institut für Rechnergestützte Automation Fakultät für Informatik Technische Universität Wien

2 Agenda Begriffe Authentifizierung Methoden der Authentisierung Wissen Besitz Biometrisches Merkmal Zugriffskontrolle Discretionary Access Control Role-Based Access Control Mandatory Access Control 2 / 44

3 Identität (Vergleiche 3 / 44

4 Begriffe 1/2 Identität Wer jemand ist Authentisierung ( authentication ) [0] Vorlage eines Nachweises zur Identifikation (z.b. Username/Passwort) Authentifizierung ( authentication ) [0] Überprüfung eines Nachweises zur Identifikation Autorisierung [0] Überprüfung, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist ( Rechtetabelle ) 4 / 44

5 Begriffe 2/2 Zutritt [0] Betreten von abgegrenzten Bereichen wie z. B. Räumen oder geschützen Arealen in einem Gelände Zugang [0] Nutzung von IT-Systemen, System-Komponenten und Netzen Zugriff [0] Nutzung von Informationen bzw. Daten Quelle: [0] BSI: Glossar IT-Grundschutz-Kataloge 5 / 44

6 Gründe für die Authentifzierung Nachweis der Identität (sowohl von Personen als auch Komponenten) Kontrolle des Zutritts, Zugangs Voraussetzung zur Zugriffskontrolle Nachweis Zurechenbarkeit/Verantwortlichkeit Identification is functionally dependent on authentication. Without authentication, user identification has no credability. Without a credible identity, neither mandatory nor discretionary security policies can be properly invoked because there is no assurance that proper authorizations can be made. (Carlton et al.: Alternate Authentication Mechanisms) Herstellung von Vertrauen zwischen zwei Kommunikationspartner- Innen 6 / 44

7 Herausforderungen bei der Authentisierung Valider Zugang soll einfach möglich sein Unberechtigte sollen zuverlässig vom Zugang abgehalten werden AngreiferInnen reicht u.u. ein einzelner Account Authentisierungsmethoden haben unterschiedliche Vor- & Nachteile Kein einziger, bester Weg für Authentisierung Je nach Einsatzzweck geeignetes Verfahren auswählen Kombination von Methoden: 2-Faktor-Authentifizierung, wenn 2 Methoden miteinander kombiniert werden 7 / 44

8 Methoden der Authentisierung und Beispiele Wissen Herkömmliche textuelle und graphische Passwörter PINs Besitz Tokens Chipkarten Biometrisches Merkmal Iris Fingerabdruck Stimme Tippverhalten 8 / 44

9 Methoden der Authentisierung: Wissen Kennwörter wurden schon vor dem Einsatz in der Informationstechnik verwendet Militär: Parole Losungsworte Etablierte Methode zur Authentisierung Sicherheit abhängig von technischen und organisatorischen Faktoren Ausreichend große Basis an verfügbaren Zeichen Verlust schwer oder erst zu spät erkennbar 9 / 44

10 Passwörter Passwörter werden häufig verwendet Klein- und Großbuchstaben, Ziffern, Sonderzeichen 1 graphische Passwörter (Bildfolge, Punkte auf Bildern, Gesichter,...) leicht zu merken vs. schwierig zu erraten Anzahl der Passwörter steigt u.u. Wechsel in bestimmten Abständen, Passwort Historie u.u. Mindestlänge, Mindest-Vorkommen von einzelnen Zeichenklassen (Achtung bei 4 bzw. 6-stelligen Passwörtern, PINs) 1 nicht zugelassene Zeichen ausschließen, falls nicht alles erlaubt...! 10 / 44

11 Stärke von Passwörtern (Vergleiche 11 / 44

12 Umgang mit Passwörtern: Passwortbuch 12 / 44

13 Regeln bei Verwendung von Passwörtern Keine Default-Passwörter verwenden US CERT Alert TA13-175A: Risks of Default Passwords on the Internet OSVDB 87329: Telstra BigPond Elite Router Default Hardcoded Credentials Passwörter sollen nicht aufgeschrieben werden (v.a. nicht am Monitor, Keyboard etc.) Passwörter sollen vom Benutzer/von der Benutzerin änderbar sein Anzahl der Versuche zur Passwort Eingabe beschränken (Achtung: Denial of Service) Prozess zur Änderung bei vergessenen Passwörtern Siehe auch BSI Grundschutz: M 2.11 Regelung des Passwortgebrauchs 13 / 44

14 Sicherheitsfragen (Vergleiche bz-panel jpg) 14 / 44

15 Verwendung von schlechten Passwörtern Trotz aller Empfehlungen werden manche Passwörter häufig verwendet Sicherheitsbewusstsein stärken Beispiele für schlechte Passwörter Familie (eigener Vorname/Nachname, LebenspartnerInnen, Kinder, Haustiere, Geburtsdatum,...) Stars (Namen von MusikerInnen, SchauspielerInnen,...) Username = Passwort , passwort, schatz, hallo, qwertz, abc123 Ab und zu können aber auch schlechte Passwörter ausreichen nicht alles muss gleich gut geschützt werden 15 / 44

16 Passwörter Angriffe Raten Social Engineering Brute Force (lokal, remote) Wörterbuch Attacken Rainbow Tables Script Files, Trojaner, Default-Passwörter Passwortdateien/Passwörter in Swap-Files Über die Schulter Schauen Sniffing (daher in Netzwerken z.b. Anwendung von Verschlüsselung) Elektromagnetische Strahlung Wireless Tastaturen Preisgabe von Information: Username/Passwort falsch 16 / 44

17 Praxisbeispiel Stärke von Passwörtern 17 / 44

18 Passwörter Abwehrmethoden zu Angriffen Passwörter müssen am System sicher gespeichert werden, sie sollen nicht im Klartext gespeichert werden (Hash, Salt) Eigene Hash-Algorithmen mit bestimmten Eigenschaften zur Speicherung von Passwörtern (siehe Provos und Mazières bzw. Password Hashing Challenge), z.b. bcrypt Zugriffsschutz der Passwortdatei Proaktive Passwort-Checker User-Training Lockout Mechanismen Passwort Wechsel Zeitliche Begrenzung der Gültigkeit der Passwörter Fehlanmeldungen/Letzte Anmeldung anzeigen 18 / 44

19 Vertraulichkeit und Öffentlichkeit von Passwörtern 19 / 44

20 Methoden der Authentisierung: Besitz Verwendung auch abseits von Einsatz in IT bzw. vor Einsatz in IT Abzeichen Dienstmarken Verlust besser erkennbar als bei Passwörtern Erzeugung von Einmal-Passwörtern Passwort auf Basis von aktueller Zeit Passwort auf Basis eines Counters Immer wieder Schutz durch PIN/Passwort (z.b. Bankomatkarte) Physischer Schutz erforderlich Vorgaben für die Verwendung von PINs Kosten höher als bei Passwörtern 20 / 44

21 Chipkarten Besitz Anwendung z.b. mit kryptographischen Schlüsseln Gut: Privater Schlüssel verlässt die Chipkarte nicht U.U. geschützt durch PIN Gesamter Lebenszyklus relevant Einsatz z.b. Banken, Gesundheitswesen Angriffe Side Channel Attacken (Stromverbrauch, Rechenzeit,...) Physikalisch (Temperatur, Spannung,...) Man in the Middle Social Engineering 21 / 44

22 Methoden der Authentisierung: Biometrisches Merkmal körperliches Merkmal Identifizierung von Menschen im zwischenmenschlichen Alltag biometrische Merkmale sind schwer/nicht zu ersetzen Unterscheidung: Identifikation und Validierung Weitergabe von Authentisierungsmethoden schwer/nicht möglich Fehlerrate (FAR False Acceptance Rate, FRR False Rejection Rate) Akzeptanz von biometrischer Authentisierung Kosten höher als bei Passwörtern oder Token Ausprägung biometrischer Merkmale nicht bei allen Menschen gleich Alternativen/Ausnahmen erforderlich 22 / 44

23 Angriffe bei biometrischen Merkmalen (Auch) Authentifizierung duch biometrische Merkmale nicht zu 100% sicher Stärken/Schwächen von biometrischer Authentisierung werden oft vernachlässigt Spoofing (Fotos, Modellierung von (gefundenden) Fingerabdrücken,...) Replay Attacken Umgehen der Sensoren Brute Force 23 / 44

24 Zugriffskontrolle 1/2 Zugang ist nun kontrolliert Zugriff sollen nur die berechtigten Akteure erhalten Unberechtigter Zugriff soll verhindert oder zumindest erkannt werden Zugriffskontrolle bedeutet Auditierung Zwei unterscheidbare Fälle für Angriffe AngreiferIn hat Zugriff auf Binärdaten Kryptographische Methoden erforderlich Es existiert eine Schicht zwischen AngreiferIn und Binärdaten Zugriffskontrolle 24 / 44

25 Zugriffskontrolle 2/2 Umsetzung einer Sicherheitsstrategie (Security Policy) Verwendung von Zugriffskontrollmechanismen z.b. in Betriebssystem Datenbanken Webserver Kernfrage der Zugriffskontrolle: Wer darf auf was wie zugreifen. 25 / 44

26 Zugriffskontrollstrategie, Zugriffskontrollmodell Zugriffskontrollstrategie ist ein Regelwerk, das besagt was erlaubt/nicht erlaubt ist. Zugriffskontrollmodell ist ein Formalismus, um eine Zugriffskontrollstrategie zu beschreiben. Verschiedene Zugriffskontrollmodelle für unterschiedliche Zugriffskontrollstrategien Ein Modell soll einfach, ausdruckstark, intuitiv, wartbar und umsetzbar sein. 26 / 44

27 Begriffe Objekt [0] passiver, zu schützender Informationsträger Subjekt [0] aktive Elemente, die im Auftrag von AnwenderInnen Zugriffe auf Informationen ausführen Zugriffsoperation Art, um auf ein Objekt zuzugreifen (read, write, execute,...) Zugriffsrecht Rechte für Zugriffe auf Dateien, Datenträger, Prozesse,... Schutzdomäne Gruppierung von identischen Zugriffsrechten Zugriffsmonitor setzt die Zugriffskontrollstrategie durch Quelle: [0] siehe Einführung in die Informationssicherheit, hrsg. von H. Pohl, G. Weck 27 / 44

28 Zugriffskontrollmodell 28 / 44

29 Grundmodell der Autorisierung Ob für ein Subjekt s der Zugriff der Art a auf ein Objekt o zulässig ist, ergibt sich aus einer Funktion f, die das Ergebnis des 3-Tupels (s;o;a), das wahr oder falsch sein kann, auswertet. Dabei gilt s S, der Menge aller Subjekte o O, der Menge aller Objekte a A, der Menge aller möglichen Zugriffsarten 29 / 44

30 Zugriffsmatrix Objekt Zugriffsmatrix definiert die α β γ δ ǫ Zugriffsrechte Subjekt a b c d e f Sichtweisen Was darf ein Subjekt? Was darf mit einem Objekt passieren? Umsetzung direkt als Matrix i.a. langsam, ineffizient 30 / 44

31 Beispiel für Klassifikation von Subjekten Eigentümer Der Eigentümer hat uneingeschränkte Zugriffsrechte. Gruppe Alle innerhalb einer speziellen Gruppe haben dieselben Zugriffsrechte, z.b. Lesen eines Objekts. Jeder Allen Usern in einem System können bestimmte Zugriffsrechte gegeben werden. 31 / 44

32 Discretionary Access Control (DAC) Ziel: Der/Die BesitzerIn legt Berechtigungen auf Objekte selbst fest Zugriff auf Objekte allein von der Identität abhängig Jedes Objekt hat einen Besitzer/eine Besitzerin Der/Die BesitzerIn kann Rechte für die Durchführung von Operationen an andere BenutzerInnen vergeben Verwaltung von Zugriffsrechten aufwändig (Zugriffsrechte auf BenutzerInnen-Ebene Wechsel von BenutzerInnen) Aufwändig festzustellen welche Rechte bestimmte BenutzerInnen haben 32 / 44

33 Role-Based Access Control (RBAC) Ziel: Der Zugriff auf Objekte wird durch die Rolle festgelegt BenutzerInnen haben Rollen von den Rollen hängen die Zugriffsrechte ab eine Rolle ist eine Sammlung von Funktionen, die für eine Arbeit gebraucht werden (z.b. LVA-LeiterIn) hierarchisches Rollenkonzept BenutzerInnen können mehrere Rollen haben, der Wechsel der Rolle ist möglich Rollen, die für eine Session gelten sollen, können aktiviert werden Rollen können andere Rollen ausschließen ( Separation of Duty ) 33 / 44

34 Mandatory Access Control (MAC) Ziel: Zentrale Festlegung der (maximalen) Zugriffsrechte von BenutzerInnen Kontrolle des Informationsflusses Weitergabe von Rechten eingeschränkt möglich Objekte und BenutzerInnen sind kategorisiert (z.b. öffentlich, vertraulich, streng geheim) BenutzerInnen können nur auf ein Objekt zugreifen, wenn ihre Kategorisierung mindestens der des Objekts entspricht Objekte können nur mit Kategorien, die gleich- oder höherwertig der Kategorie des/der Benutzers/Benutzerin ist, geschrieben werden Anwendung hauptsächlich im militärischen Bereich 34 / 44

35 Herausforderungen Umsetzung von tatsächlichen Berechtigungen Concept of Least Privilege Security behindert Single Sign On (z.b. OAuth, SAML,...) Wie wird die Zugriffskontrolle administriert? Wo wird Zugriff kontrolliert? (Kontrolle von USB Stick am Rechner?) 35 / 44

36 Zusammenfassung und Ausblick Identität, Autenthisierung, Authentifizierung, Autorisierung Unterschiedliche Methoden zur Authentisierung Passwörter (Achtung, Passwortsicherheit im Lab!), Chipkarten, Biometrie Zugriffskontrolle Discretionary Access Control (DAC) Role-Based Access Control (RBAC) Mandatory Access Control (MAC) Zugriffskontrolle allein hilft jedoch bedauerlicher Weise auch nicht gegen alle Angriffe IT-Sicherheit ist vielschichtig! 36 / 44

37 Quellen und weiterführende Literatur 1/7 Christian Brem: Slides INSO Security VU WS2006 Bruce Schneier. Secrets & Lies: Digital Security in a Networked World. Wiley Publishing, Inc., Indianapolis, Indiana, ISBN Bundesamt für Sicherheit in der Informationstechnik. IT-Grundschutzhandbuch, https://www.bsi.bund.de/de/ Themen/ITGrundschutz/StartseiteITGrundschutz/ startseiteitgrundschutz_node.html Matt Bishop. Introduction to Computer Security. Pearson Education, Inc, ISBN / 44

38 Quellen und weiterführende Literatur 2/7 Hartmut Pohl und Gerhard Weck, (Hrsg.). Einführung in die Informationssicherheit. Sicherheit in der Informationstechnik. Oldenbourg, München, ISBN Stephen F. Carlton, John W. Taylor, und John L. Wyszynski. Alternate Authentication Mechanisms. In Proceedings of the 11th National Computer Security Conference, Seiten , verb=getrecord&metadataprefix=html&identifier=ada Richard E. Smith. Authentication: From Passwords to Public Keys. Addison-Wesley, / 44

39 Quellen und weiterführende Literatur 3/7 Lawrence O Gorman. Comparing passwords, tokens, and biometrics for user authentication. Proceedings of the IEEE, 91(12): , Dezember ISSN doi: /JPROC Lynette I. Millett und Stephen H. Holden. Authentication and its privacy effects. IEEE Internet Computing, 7(6):54 58, November/Dezember ISSN doi: /MIC Art Conklin, Glenn Dietrich, und Diane Walz. Password-based authentication: a system perspective. In System Sciences, Proceedings of the 37th Annual Hawaii International Conference on, Januar doi: /HICSS / 44

40 Quellen und weiterführende Literatur 4/7 Xiaoyuan Suo, Ying Zhu, und G. Scott Owen. Graphical passwords: a survey. 21st Annual Computer Security Applications Conference, Dezember ISSN doi: /CSAC Roman V. Yampolskiy. Analyzing User Password Selection Behavior for Reduction of Password Space. In Carnahan Conferences Security Technology, Proceedings th Annual IEEE International, Seiten , Lexington, KY, Oktober doi: /CCST TeleTrust Deutschland e.v. Kriterienkatalog. Bewertungskriterien zur Vergleichbarkeit biometrischer Verfahren, teletrust.de/publikationen/fachartikel/kriterienkatalog/ 40 / 44

41 Quellen und weiterführende Literatur 5/7 Jennifer G. Steiner, Clifford Neuman, und Jeffrey I. Schiller. Kerberos: An Authentication Service for Open Network Systems. In Proceedings of the Winter 1988 Usenix Conference, März ftp:// athena-dist.mit.edu/pub/kerberos/doc/usenix.ps Florence Mwagwabi, Tanya McGill, und Michael Dixon. Improving Compliance with Password Guidelines: How User Perceptions of Passwords and Security Threats Affect Compliance with Guidelines. In System Sciences (HICSS), th Hawaii International Conference on, Seiten , Januar doi: /HICSS William Burr, Hildegard Ferraiolo, und David Waltermire. NIST and Computer Security. IT Professional, 16(2):31 37, ISSN doi: /MITP / 44

42 Quellen und weiterführende Literatur 6/7 Eric Grosse und Mayank Upadhyay. Authentication at Scale. Security Privacy, IEEE, 11(1):15 22, Januar ISSN doi: /MSP Barry Leiba. OAuth Web Authorization Protocol. Internet Computing, IEEE, 16(1):74 77, Januar ISSN doi: /MIC Niels Provos und David Mazières. A Future-Adaptable Password Scheme. In Proceedings of the USENIX Annual Technical Conference. USENIX Association, usenix99/provos/provos.pdf https://password-hashing.net/ 42 / 44

43 Quellen und weiterführende Literatur 7/7 Heise Newsticker: Bericht: Apple-Support ermöglichte icloud-account-übernahme Heise Newsticker: Preiswert Schlüssel knacken in der Cloud 43 / 44

44 Vielen Dank! INSO Industrial Software Institut für Rechnergestützte Automation Fakultät für Informatik Technische Universität Wien

Introduction to Security VO 00: Vorbesprechung

Introduction to Security VO 00: Vorbesprechung Introduction to Security VO 00: Vorbesprechung Florian Fankhauser Christian Schanes INSO Industrial Software Institut für Rechnergestützte Automation Fakultät für Informatik Technische Universität Wien

Mehr

Thomas Macht Ausarbeitung Security-Test WS 10

Thomas Macht Ausarbeitung Security-Test WS 10 Sicherheit definieren mit Grenzrisiko und Grenzrisiko definieren. Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbares Risiko eines technischen Vorgangs/Zustands

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

IT-Sicherheit IAIK 1

IT-Sicherheit IAIK 1 IT-Sicherheit IAIK 1 Motivation Rechner enthalten Informationen Informationen haben Wert Manche Firmen: gesamter Wert in elektronischer Form Aufgabe von Betriebssystemen: Information vor unautorisierter

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger Identitätskonzepte OpenID, WebID und OAuth Hauptseminar Web Engineering Vortrag Robert Unger WS 12/13 07.12.2012 Inhalt Einführung OpenID WebID OAuth Fazit Quellen TU-Chemnitz - Hauptseminar Web Engineering

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

!"#$"%&'()*$+()',!-+.'/',

!#$%&'()*$+()',!-+.'/', Soziotechnische Informationssysteme 7. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3, Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung!

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2014 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Systemsicherheit. Lerneinheit 3: Security Enhanced Linux. Prof. Dr. Christoph Karg. Studiengang Informatik Hochschule Aalen. Sommersemester 2015

Systemsicherheit. Lerneinheit 3: Security Enhanced Linux. Prof. Dr. Christoph Karg. Studiengang Informatik Hochschule Aalen. Sommersemester 2015 Systemsicherheit Lerneinheit 3: Security Enhanced Linux Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2015 26.4.2015 Übersicht Übersicht Diese Lerneinheit stellt mit Security

Mehr

Identity Theft Der richtige Schutz vor Identitätsdiebstahl

Identity Theft Der richtige Schutz vor Identitätsdiebstahl Identity Theft Der richtige Schutz vor Identitätsdiebstahl Dr. Lukas Feiler, SSCP Associate, Wolf Theiss Rechtsanwälte GmbH Identity Theft, 15. Oktober 2012 1 1. Worum geht es bei Identity Theft? 2. Schutzmaßnahmen

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Verschlüsselungsverfahren Integrität: Garantie

Mehr

Relevante Sicherheitskriterien aktueller mobiler Plattformen

Relevante Sicherheitskriterien aktueller mobiler Plattformen Relevante Sicherheitskriterien aktueller mobiler Plattformen RTR-Workshop Sicherheit mobiler Endgeräte Thomas Zefferer Zentrum für sichere Informationstechnologie - Austria Motivation RTR-Workshop Sicherheit

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Thomas Macht Ausarbeitung Security-Test WS 09

Thomas Macht Ausarbeitung Security-Test WS 09 Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren

Mehr

Datenschutz und Datensicherheit: Eine Einführung

Datenschutz und Datensicherheit: Eine Einführung Datenschutz und Datensicherheit: Eine Einführung, Hochschule Offenburg Professur für Embedded Systems und Kommunikationselektronik Leiter Steinbeis Innovationszentrum Embedded Design und Networking 1 Überblick

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

ANGEWANDTE INFORMATIONSSICHERHEIT GEFAHREN UND RISIKEN

ANGEWANDTE INFORMATIONSSICHERHEIT GEFAHREN UND RISIKEN ANGEWANDTE INFORMATIONSSICHERHEIT GEFAHREN UND RISIKEN Prof. Arno Wacker Angewandte Informationssicherheit Universität Kassel NetComData 30. September 2015 IT Security Day Fachgebiet Angewandte Informationssicherheit

Mehr

Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX

Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX Unix-, shadow- und md5- Passwörter, PAM Geschichte und Überlick über Authentifizierungsmechanismen unter UNIX Thomas Glanzmann (sithglan@stud.uni-erlangen.de) Lehrstuhl 4 Informatik - FAU Erlangen-Nürnberg

Mehr

Der Wert von Daten. Biometrie als Zugriffsschutz. Vorteile biometrischer Systeme

Der Wert von Daten. Biometrie als Zugriffsschutz. Vorteile biometrischer Systeme 2005 Siemens AG Österreich www.siemens.com/biometrics biometrics@siemens.com Datensicherheit durch biometrische Verfahren Der Wert von Daten Biometrie als Zugriffsschutz Vorteile biometrischer Systeme

Mehr

11 Instanzauthentisierung

11 Instanzauthentisierung 11 Instanzauthentisierung B (Prüfer) kann die Identität von A (Beweisender) zweifelsfrei feststellen Angreifer O versucht, Identität von A zu übernehmen (aktiver Angri ) Oskar (O) Alice (A) Bob (B) Faktoren

Mehr

IT-Sicherheit Einführung

IT-Sicherheit Einführung Karl Martin Kern IT-Sicherheit Einführung (http://www.xkcd.com/834/) Über mich... Dipl.-Inform. (FH) Karl Martin Kern (htwg@kmkern.de) Studium der technischen Informatik an der HTWG (damals Fachhochschule)

Mehr

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea Datenspuren, 13.09.14, Dresden Cornelius Kölbel cornelius@privacyidea.org Identität - Wikipedia Bergriffsklärung Wikipedia:

Mehr

Benutzbare Benutzerauthentizierung Security and Usability of Passwords

Benutzbare Benutzerauthentizierung Security and Usability of Passwords Benutzbare Benutzerauthentizierung Security and Usability of Passwords Technologien der Informationsgesellschaft Sommersemester 2006 Matthias Bernauer Institut für Informatik und Gesellschaft - Telematik

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Der Spagat zwischen Sicherheit und Bequemlichkeit: Kennwörter zuhause und im Netz

Der Spagat zwischen Sicherheit und Bequemlichkeit: Kennwörter zuhause und im Netz Der Spagat zwischen Sicherheit und Bequemlichkeit: Kennwörter zuhause und im Netz Heinz.Werner.Kramski@hoernle-marbach.de Bürgerverein Hörnle & Eichgraben e.v. Vortrag zur Mitgliederversammlung 28.3.2014

Mehr

Kerberos. Kerberos. Folien unter. http://www.tu-berlin.de/zrz/mitarbeiter/stsc4000/tubit_kerberos_infrastruktur.pdf. 1 Stefan Schnieber 23.05.

Kerberos. Kerberos. Folien unter. http://www.tu-berlin.de/zrz/mitarbeiter/stsc4000/tubit_kerberos_infrastruktur.pdf. 1 Stefan Schnieber 23.05. Kerberos Folien unter http://www.tu-berlin.de/zrz/mitarbeiter/stsc4000/tubit_kerberos_infrastruktur.pdf 1 Stefan Schnieber Authentication of Unknown Entities on an Insecure Network of Untrusted Workstations

Mehr

PKI im Cyberwar. Nutzen, Angriffe, Absicherung. Dr. Gunnar Jacobson. 2015 PKI im Cyberwar

PKI im Cyberwar. Nutzen, Angriffe, Absicherung. Dr. Gunnar Jacobson. 2015 PKI im Cyberwar PKI im Cyberwar Nutzen, Angriffe, Absicherung Dr. Gunnar Jacobson 1 Cyberwar Anti virus 2 Der SONY-Hack Hackerangriff könnte Sony hunderte Millionen Dollar kosten. unverschlüsselte E-Mails Passwörter im

Mehr

Datenbankadministration WS 2013/14: Autorisierung, Nutzerverwaltung und Rechtevergabe

Datenbankadministration WS 2013/14: Autorisierung, Nutzerverwaltung und Rechtevergabe Datenbankadministration WS 2013/14: Autorisierung, Nutzerverwaltung und Rechtevergabe Prof. Dr. K. Küspert, Dipl.-Math. K. Büchse Friedrich-Schiller-Universität Jena 11. November 2013 Gliederung 1 Motivation

Mehr

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication

IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication IG Avaloq Revision und Sicherheit (IGARS) Trends in Mobile Authentication Christian Birchler, cnlab security AG Esther Hänggi, cnlab security AG 13. November 2014, Zurich Agenda - Kurzvorstellung cnlab

Mehr

Eine Praxis-orientierte Einführung in die Kryptographie

Eine Praxis-orientierte Einführung in die Kryptographie Eine Praxis-orientierte Einführung in die Kryptographie Mag. Lukas Feiler, SSCP lukas.feiler@lukasfeiler.com http://www.lukasfeiler.com/lectures_brg9 Verschlüsselung & Entschlüsselung Kryptographie & Informationssicherheit

Mehr

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw. GeoXACML und SAML Ubiquitous Protected Geographic Information Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.de Was erwartet Sie in diesem Vortrag? Einleitung OpenGIS Web

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

IT-Sicherheit. IT-Sicherheit. Axel Pemmann. 03. September 2007

IT-Sicherheit. IT-Sicherheit. Axel Pemmann. 03. September 2007 IT-Sicherheit Axel Pemmann 03. September 2007 1 / 12 1 Authentifizierungsmöglichkeiten Zwei Verschlüsselungsverfahren Authentifizierung von Nachrichten Handshake-Protokolle Verwaltung von Schlüsseln 2

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Datenbankadministration

Datenbankadministration Datenbankadministration 4. Zugriffskontrolle AG DBIS University of Kaiserslautern, Germany Karsten Schmidt kschmidt@informatik.uni-kl.de (Vorlage TU-Dresden) Wintersemester 2008/2009 Einführung Architektur

Mehr

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH Partner Roundtable 28.Juni 2007 Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH Thema des Tages was hat das mit uns hier heute zu tun? Oracle s Zusage The The

Mehr

Interrupt: Passwort-Checker Arbeitsblatt

Interrupt: Passwort-Checker Arbeitsblatt Lehrerinformation 1/5 Arbeitsauftrag Passwort-Checker: Mit Hilfe einer Plattform im Internet kann man die verschiedenen Passwörter auf ihre Sicherheit überprüfen. Die Sch kreieren Passwörter, welche einen

Mehr

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013

SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 SICHERHEIT IN DER CLOUD: WAS BLEIBT NACH DEM HYPE? Jörn Eichler Berlin, 9. April 2013 AGENDA Cloud-Computing: nach dem Hype Grundlagen und Orientierung (Daten-) Sicherheit in der Cloud Besonderheiten für

Mehr

Vorlesung Datensicherheit

Vorlesung Datensicherheit Vorlesung Datensicherheit Jürgen Quittek Institut für Informatik Freie Universität Berlin C&C Research Laboratories NEC Europe Ltd., Berlin Vorlesung Datensicherheit Institut für Informatik Freie Universität

Mehr

Social Engineering. Dr. Lukas Feiler, SSCP Associate, Wolf Theiss Rechtsanwälte GmbH. Social Engineering, 3. Oktober 2012 1

Social Engineering. Dr. Lukas Feiler, SSCP Associate, Wolf Theiss Rechtsanwälte GmbH. Social Engineering, 3. Oktober 2012 1 Social Engineering Dr. Lukas Feiler, SSCP Associate, Wolf Theiss Rechtsanwälte GmbH Social Engineering, 3. Oktober 2012 1 1. Social Engineering Basics 2. Methoden des Social Engineering 3. Schutzmaßnahmen

Mehr

Wahl eines sicheren Passworts

Wahl eines sicheren Passworts Zur Verfügung gestellt von Mcert Deutsche Gesellschaft für IT Sicherheit Weitere Informationen unter www.mcert.de Wahl eines sicheren Passworts Version 1.0 Letzte Änderung: 21. Juli 2005 Impressum Mcert

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany Corporate Information Security Sicherheit und Webs Dr. Bruno Quint GmbH. Uhlandstr. 9. D-64297 Darmstadt. Germany. www.corisecio.com Company BESEQURE gegründet 2002 in Darmstadt Germany umbenannt 2007

Mehr

Secure Cloud - "In-the-Cloud-Sicherheit"

Secure Cloud - In-the-Cloud-Sicherheit Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc. Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter

Mehr

Rechnerarchitekturen und Betriebssysteme (CS201): Sicherheit: ACM und Passworte, OS-Timeline

Rechnerarchitekturen und Betriebssysteme (CS201): Sicherheit: ACM und Passworte, OS-Timeline Rechnerarchitekturen und Betriebssysteme (CS201): Sicherheit: ACM und Passworte, OS-Timeline 12. Dezember 2014 Prof. Dr. Christian Tschudin Departement Mathematik und Informatik, Universität Basel Wiederholung

Mehr

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting

Mehr

Überraschende Angriffsvektoren: Weit verbreitet, oft übersehen

Überraschende Angriffsvektoren: Weit verbreitet, oft übersehen : Weit verbreitet, oft übersehen jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de CeBIT 2009 CeBIT Open Source Forum 06. März 2009, Hannover RedTeam Pentesting, Daten & Fakten Über

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

WLAN Angriffsszenarien und Schutz. OSZ IMT - FA16 Jirka Krischker & Thomas Roschinsky

WLAN Angriffsszenarien und Schutz. OSZ IMT - FA16 Jirka Krischker & Thomas Roschinsky Gliederung WLAN Angriffsszenarien und Schutz Begriffliches Entdecken eines WLANs Schwachstellen und deren Beseitigung Konzeption einer WLAN-Architektur Implementieren der WLAN-Architektur in ein vorhandenes

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

11 Security Engineering

11 Security Engineering 11 Security Engineering d.h. sichere Entwicklung sicherer Software (safe) (secure) oder sicherheitsbewusste Softwaretechnik ITS-11.1 1 Bei traditionellen Phasenmodellen: Anforderungsermittlung/Systemspezifikation

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

AZURE ACTIVE DIRECTORY

AZURE ACTIVE DIRECTORY 1 AZURE ACTIVE DIRECTORY Hype oder Revolution? Mario Fuchs Welcome 2 Agenda 3 Was ist [Azure] Active Directory? Synchronization, Federation, Integration Praktische Anwendungen z.b.: Multifactor Authentication

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

Authentication Token gesucht- Nutzen Sie doch Ihr Handy. T-TeleSec OneTimePass Überblick / Version 4.0 12.03.2009 1

Authentication Token gesucht- Nutzen Sie doch Ihr Handy. T-TeleSec OneTimePass Überblick / Version 4.0 12.03.2009 1 Authentication Token gesucht- Nutzen Sie doch Ihr Handy T-TeleSec OneTimePass Überblick / Version 4.0 12.03.2009 1 T-TeleSec OneTimePass Darf ich mich vorstellen T-TeleSec OneTimePass Inhalt. 1. Die Ausgangslage.

Mehr

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE MARKUS NÜSSELER-POLKE SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON FÜR SAP UND NON-SAP UMGEBUNGEN WIE MELDEN SIE SICH AN SAP AN? 1 Alltägliche Situation beim Kunden! Nüsseler Pa$$w0rd

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Zugangskontrolle zu IT-Systemen

Zugangskontrolle zu IT-Systemen Zugangskontrolle zu IT-Systemen Jens Schletter PRODATIS CONSULTING AG Canaletto Internet GmbH Das Unternehmen Das Unternehmen PRODATIS CONSULTING AG ist ein weltweit agierender IT Beratungs-, Technologie-

Mehr

Durchgängige WLAN Security mit Zentralem Management. Markus Kohlmeier DTS Systeme GmbH

Durchgängige WLAN Security mit Zentralem Management. Markus Kohlmeier DTS Systeme GmbH Durchgängige WLAN Security mit Zentralem Management Markus Kohlmeier DTS Systeme GmbH Agenda Sicherheitsrisiko WLAN Management Strategien Produktvorstellung Sicherheitsrisiko WLAN? Grenzenlos WLAN Signale

Mehr

Mobile Security: Sicherer Applikationszugriff für eine mobile Welt. Oracle Mobile and Social Access Management. Heike Jürgensen.

Mobile Security: Sicherer Applikationszugriff für eine mobile Welt. Oracle Mobile and Social Access Management. Heike Jürgensen. Mobile Security: Sicherer Applikationszugriff für eine mobile Welt Oracle Mobile and Social Access Management Heike Jürgensen Security Sales Citizen Services Mobile Banking Online Healthcare Business Transformation

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Identitätsdiebstahl verhindern

Identitätsdiebstahl verhindern Identitätsdiebstahl verhindern Kartenmissbrauch vorbeugen durch die Kombination von RFID und Handvenenerkennung, an praktischen Beispielen. Dipl.-Ing. (FH) Wolfgang Rackowitz Systemconsulting, PCS Systemtechnik

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund Reaktive Sicherheit II. Passwörter Dr. Michael Meier technische universität dortmund Fakultät für Informatik Lehrstuhl VI, Informationssysteme und Sicherheit 20. Oktober 2009 Grundlegendes Grundlegendes

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Veröffentlichung und Absicherung von SharePoint Extranets

Veröffentlichung und Absicherung von SharePoint Extranets Veröffentlichung und Absicherung von SharePoint Extranets Denis Holtkamp, ITaCS GmbH Senior Consultant IT-Infrastruktur Goldsponsor: Partner: Silbersponsoren: Veranstalter: Agenda Intranet Extranet-Szenarien

Mehr

Fraud Prevention Komplexe Bedrohungen erfordern flexible Sicherheitslösungen

Fraud Prevention Komplexe Bedrohungen erfordern flexible Sicherheitslösungen Fraud Prevention Komplexe Bedrohungen erfordern flexible Sicherheitslösungen Dirk Losse, CISSP 18. Oktober 2012 Identity Assurance (formerly ActivIdentity) Über uns Weltmarktführer im Bereich Türsysteme

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Secure Authentication for System & Network Administration

Secure Authentication for System & Network Administration Secure Authentication for System & Network Administration Erol Längle, Security Consultant Patrik Di Lena, Systems & Network Engineer Inter-Networking AG (Switzerland) Agenda! Ausgangslage! Komplexität!

Mehr

Angriffe gegen Passwörter Ein sicheres Passwort Passwörter benutzen Passwörter sichern. Sichere Passwörter

Angriffe gegen Passwörter Ein sicheres Passwort Passwörter benutzen Passwörter sichern. Sichere Passwörter Warum? Was nützt die beste Festplattenverschlüsselung wenn ein Angreifer an das Passwort gelangen kann? Warum? Was nützt die beste Festplattenverschlüsselung wenn ein Angreifer an das Passwort gelangen

Mehr

Security Planning Basics

Security Planning Basics Einführung in die Wirtschaftsinformatik VO WS 2009/2010 Security Planning Basics Gerald.Quirchmayr@univie.ac.at Textbook used as basis for these slides and recommended as reading: Whitman, M. E. & Mattord,

Mehr

Demo: Sicherheitsmechanismen von Collaboration- und Community-Diensten

Demo: Sicherheitsmechanismen von Collaboration- und Community-Diensten CSI Consulting AG / cnlab AG Demo: Sicherheitsmechanismen von Collaboration- und Community-Diensten 14. September 2010, Hotel St. Gotthard, Zürich Agenda MS BPOS (Business Productivity Online Suite) Funktionen

Mehr

Email-Verschlüsselung

Email-Verschlüsselung Email-Verschlüsselung...oder möchten Sie alle Postkarten beim Nachbarn abholen? Florian Bokor Mark Neis 23. Oktober 2012 Vorstellung Mark Neis Mail: neismark@gmx.de Key-ID: 0x088EE4A1E Beruf: Systemadministrator

Mehr

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD Dr. Detlef Hühnlein, Johannes Schmölz ecsec GmbH, Sudetenstraße 16, D96247 Michelau Zusammenfassung 1 Einleitung che Schwachstellen enthalten. 44 FraunhoferGesellschaft

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze Sicherheitsaspekte von Web Services Hauptseminar Rechnernetze Stefan Hennig sh790883@inf.tu-dresden.de 21. Januar 2005 Gliederung Einführung Überblick Sicherheit auf Netzwerk- und Transportebene XML-Sicherheit

Mehr

Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende. GPG-Einführung. Martin Schütte. 13. April 2008

Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende. GPG-Einführung. Martin Schütte. 13. April 2008 GPG-Einführung Martin Schütte 13. April 2008 Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende Warum Kryptographie? Vertraulichkeit Mail nur für Empfänger lesbar. Integrität Keine Veränderung

Mehr

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling Identity Management Nutzen Konzepte Standards Dr. Oliver Stiemerling ecambria systems GmbH Hospeltstr. 35a 50825 Köln Tel.: 0221 595527-0 Fax.: 0221 595527-5 os@ecambria-systems.com http://www.ecambria-systems.com

Mehr

OpenID und der neue, elektronische Personalausweis

OpenID und der neue, elektronische Personalausweis OpenID und der neue, elektronische Personalausweis Über sichere Identitäten im Internet CeBIT 2010, Hannover Linux Media AG Open Source Forum 05.03.2010 Sebastian Feld feld @ internet-sicherheit. de Institut

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management

IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management Ga-Lam Chang, Peak Solution GmbH, Geschäftsführung und Organisator der IAM Area Ausgangssituation Business

Mehr

IT Security in Healthcare

IT Security in Healthcare IT Security in Healthcare Florian Fankhauser, Michael Schafferer, Christian Schanes INSO - Industrial Software Institut für Rechnergestützte Automation Fakultät für Informatik Technische Universität Wien

Mehr

secunet Security Networks AG

secunet Security Networks AG secunet Security Networks AG Multifunktionaler Mitarbeiterausweis: Chancen und Risiken in der Einführungsphase SECURITY 2006 12. Oktober 2006 www.secunet.com Agenda Vorstellung secunet Merkmale und Ziel

Mehr

Identity Management mit OpenID

Identity Management mit OpenID Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Identity Management mit OpenID Innovative Internet Technologien und Mobilkommunikation WS2008/2009 Verfasser:

Mehr

Passwort ade. Psylock als kommender Authentisierungsstandard. Peter Bück Regional Sales Manager

Passwort ade. Psylock als kommender Authentisierungsstandard. Peter Bück Regional Sales Manager Passwort ade Psylock als kommender Authentisierungsstandard Peter Bück Regional Sales Manager Folie 1 Psylock GmbH 31.10.2010 Wer ist Psylock? Das Unternehmen: Die Psylock GmbH Einziger Anbieter der starken

Mehr

Lehrveranstaltungshandbuch IT-Sicherheit

Lehrveranstaltungshandbuch IT-Sicherheit Lehrveranstaltungshandbuch IT-Sicherheit Lehrveranstaltung Befriedigt Modul (MID) Organisation Kompetenznachweis Lehrveranstaltungselemente Vorlesung/Übung Seminar Verantwortlich: Prof.Dr. Knospe Lehrveranstaltung

Mehr

Techniken für starke Kennwörter

Techniken für starke Kennwörter Techniken für starke Kennwörter Inhalt 1. Einführung 2. Warum starke Kennwörter? 3. Wer ist gefährdet? 4. Tipps für die Einrichtung starker Kennwörter 5. Klingt kompliziert? Das muss es aber nicht sein!

Mehr

Security Challenges of Location-Aware Mobile Business

Security Challenges of Location-Aware Mobile Business Security Challenges of Location-Aware Mobile Business Emin Islam Tatlı, Dirk Stegemann, Stefan Lucks Theoretische Informatik, Universität Mannheim März 2005 Überblick The Mobile Business Research Group

Mehr