Aktuelle Angriffsszenarien für Webanwendungen

Größe: px
Ab Seite anzeigen:

Download "Aktuelle Angriffsszenarien für Webanwendungen"

Transkript

1 Aktuelle Angriffsszenarien für Webanwendungen Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

2 Die Ruhr-Universität Bochum (RUB) Das HGI 2014 Rückblick Die Ruhr-Universität Bochum (RUB) Baubeginn Januar 1964 Start im Juni Fakultäten (Volluniversität) Mehr als Studierende Mehr als Beschäftigte Mehr als 450 Professuren

3 Das Horst Görtz Institut für IT-Sicherheit Das HGI 2014 Rückblick Das Horst Görtz Institut für IT- Sicherheit Gründung: Arbeitsgruppen 80+ WissenschaftlerInnen 800+ ITS-Studierende 4 Studiengänge 60+ Absolventen pro Jahr 100+ Projektpartner Viele (internationale) Preise

4 Struktur Beteiligte Lehrstühle und Arbeitsgruppen Text

5 Studium der IT-Sicherheit Studienangebot und Aufbau Text

6 Das ist IT-Sicherheit Netz- und Datensicherheit Beispiel: Internetsicherheit Systemsicherheit Beispiel: Telemedizin Eingebettete Sicherheit Beispiel: Autotüren öffnen

7 Teil 1: Der BSI-Lagebericht 2014 Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

8 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Klare Beschreibung der Situation Sta$s$ken und Fallbeispiele Vorteile einer Meldepflicht für Sicherheitsvorfälle werden dargestellt exis$ert für Bundesbehörden Im Vorwort Verweis auf das geplante IT- Sicherheitsgesetz wird gerade im Bundestag disku$ert Die Lage ist nicht gut!

9 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Ursachen Generische Angriffspla0orm Internet "Digitale Sorglosigkeit" (Ungeprü<e APPs!) Schwachstellen in So<ware Veraltete und ungepatchte So<ware Mobile Endgeräte ("Always on"!) Unzureichende Absicherung industrieller Steuerungssysteme (Fallbeispiel)

10 Produktsupport ausgelaufen ist, sollten nicht Bedeutung. Diese sind zunehmend gezwungen, eine Priorisierung bei der Beseitigung von bereich ein Problem, mehr sondern erfolgen. betreffen Aktuelles in gleicher Beispiel ist Microsoft Ungepatchte Systeme der Regel sind nicht auch nur keine im Sicherheitsaktualisierungen Desktop- Weise auch den Server- Windows und XP, Mobilbereich: dessen erweiterter Produktsupport im April 2014 endete. Seit diesem Zeitpunkt gibt Webseiten, 8 Version 1.3 der Serversoftware Apache verwendeten. Im Mobilbereich sind insbesondere auf Sicherheitsupdates. Dennoch lag der Marktanteil Herausgabe eines Sicherheitsupdates ( Patch ) versionen anzutreffen. noch 9 bei Viele über Hersteller acht Prozent, von End-weltweit bei mehr als von Windows XP in Deutschland Mitte des Jahres eine rasche Einspielung dieser Softwareaktualisierungen zwingend erforderlich. Falls Details oder geräten stellen die Aktualisierungen 10 nur für eine gar Exploits, die eine bestimmte Schwachstelle kurze Zeitspanne bereit. Spätestens mit Erscheinen des jährlichen Nachfolgemodells wird die Hoher Zeitdruck in der SW- Entwicklung ausnutzen, vor dem Patch des Softwareherstellers an die Öffentlichkeit Einsatz gelangen veralteter (Zero-Day-Exploits), Software und Unterstützung älterer Versionen eingestellt. Neu ist bei einem bedingt Einsatz ungepatchter der betroffenen Sicherheitslücken Systeme Software entdeckte Sicherheitslücken werden dann nicht höchste Vorsicht geboten gab es bis Ende Juli mehr gepatcht und stellen somit eine Gefahr für fünf öffentlich bekannte Vorfälle dieser Art. ältere Geräte dar Das Einspielen von Softwareaktualisierungen ist eine Grundvoraussetzung für ein sicheres Generell IT- gilt: Softwareprodukte, bei denen der System. Veraltete Patchstände von Betriebssystemen und Applikationen sind dennoch eines der Produktsupport ausgelaufen ist, sollten nicht Hauptprobleme, die bei Audits und Penetrationstests des BSI in Behörden festgestellt werden. mehr erfolgen. Aktuelles Beispiel ist Microsoft der Regel auch keine Sicherheitsaktualisierungen Auch viele Systeme von Privatanwendern Windows sind XP, dessen erweiterter Produktsupport nicht immer auf dem aktuellen Stand. im April 2014 endete. Seit diesem Zeitpunkt gibt Sicherheitsupdates. Dennoch lag der Marktanteil Trotz der gängigen Empfehlung, Auto-Update- von Windows XP in Deutschland Mitte des Jahres Tabelle 1: Auswahl Funktionalitäten von Softwareprodukten mit zu hoher nutzen, Relevanz haben in Deutschland nach Erkenntnissen von IT-Experten 10 Schwachstellen Davon kritisch noch bei über acht Prozent, weltweit bei mehr als mindestens zehn Prozent aller eingesetzten Windows-Betriebssysteme und anderer gängiger Abbildung 1: Anzahl aller Schwachstellen der gelisteten Softwareprodukte Einsatz Softwareprodukte veralteter Software veraltete und Patchstände. 7 * Die Werte für das Jahr 2014 wurden auf Basis der ermittelten Anzahl der ungepatchter Systeme Schwachstellen bis September hochgerechnet. RUHR-UNIVERSITÄT BOCHUM Die Schwachstellen Lage vorzunehmen der IT-Sicherheit und sich auf in Deutschland kritische Schwachstellen zu konzentrieren (BSI) durch den Softwarehersteller bekannt. Daher ist Schwachstellen Tabelle 1: Auswahl von Softwareprodukten mit hoher in Relevanz Software Das Einspielen von Softwareaktualisierungen ist eine Grundvoraussetzung für ein sicheres IT- Quelle: BSI

11 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Fallbeispiele Bundesverwaltung: Angriffe auf das Regierungs- netz, die mit normalen Methoden nicht erkannt werden können; davon 1 pro Tag von Nachrichtendiensten Privatanwender: 34 Millionen Benutzernamen/ Passwörter "aufgefunden"; mehrere Millionen Fritz!Box Homerouter komplev übernehmbar; Geodo Onlinebanking- Trojaner (Drive- by- Download); ibanking- Schadso^ware gegen smstan; Wirtscha<: Heartbleed (SSL); Dragonfly (Produk$onsnetze); Ebury (SSH); ShellShock (Bash- Shell); BankroV Fa. CodeSpaces nach Datenlöschung in der Cloud Quelle: BSI

12 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Angriffsmethoden SPAM, Botnetze, Social Engineering, IdenStätsdiebstahl, DoS Schadprogramme Drive- By- Exploits und Exploit- Toolkits Advanced Persistent Threats (APT) Nachrichtendienstliche Cyberangriffe Angreifer Cyber- Kriminelle, Nachrichtendienste, HackSvisten, Innentäter

13 ggf. ungeschützt. Klassische signaturbasierte Komponenten von Virenschutzprogrammen stoßen dadurch zunehmend an die Grenzen ihrer Wirksamkeit, wodurch eine Fortentwicklung der Schutzmaßnahmen notwendig wird. Weiterhin betreiben die Entwickler der Schadprogramme viel Aufwand, um mit immer neuen Methoden Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Schadprogramme eine manuelle Analyse von Schadprogrammen täglich und Vorfällen neue durch Analysten Schadso<warevarianten und Forensiker kein InformaSonsvorteil für Verteidiger oder im Betr programme u Webseitenbe nannten Exp Exploits kom Einsatz, die a Schwachstell grammen zu Watering-Ho Exploits für g Abbildung 3: Anzahl Windows-Schadsoftwarevarianten Lage Drive-by-E gezielt kom platziert. Laut einer A sing-daten Drive-by-E Schadsoftw Quelle: BSI Deutschlan

14 RUHR-UNIVERSITÄT BOCHUM Die Lage Abbildung 3: Anzahl der Windows-Schadsoftwarevarianten IT-Sicherheit in Deutschland 2014 (BSI) Drive-By-Exploits und Toolkits gezielt kompromittierten verwundbaren Webseiten platziert. Laut einer Auswertung der Google Safe-Browsing-Daten 12 lag der Anteil von Webseiten mit Drive-by-Exploits oder anderer Verbreitung von Schadsoftware in den letzten zwölf Monaten in Deutschland bei vier Prozent. Schwach stellen im Internet Explorer. Auch Oracle Java ist weiterhin ein beliebtes Angriffsziel, wenn auch nicht mehr so im Fokus wie noch Rechner wird nach bloßem Betrachten der Webseite kompromi_ert (Landing Page) Code-Einbettung einer Exploit-Webseite Opfersystem Aufruf einer Exploit-Website über beliebig viele Umleitungen Exploit-Webseite Auslieferung von Exploit-Code, Ausnutzung einer Schwachstelle, Befehl zur Installation eines Dropper -Schadprogramms Nachladen des Dropper -Schadprogramms über beliebig viele Weiterleitungen Nachlade-Webseite für Schadprogramme Auslieferung des Dropper -Schadprogramms, das von diesem oder anderen Servern die eigentlichen Schadprogramme nachlädt Abbildung 4: Beispiel einer Schadprogramminfektion per Drive-by-Exploit Quelle: BSI

15 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Drive-By-Exploits und Toolkits Google Safe- Browsing: 4% aller Webseiten sind verseucht Infizierung über Werbebanner (350 Server in Deutschland verseucht in 2013) Toolkits: Viele ältere Exploits werden auf einer Webseite gebündelt; professionelle Erstellung der Toolkits Quelle: BSI

16 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) APT-Fallbeispiel: Angriff auf Stahlwerk IniSaler Zugriff auf das Büronetz migels Spear- Phishing und Social Engineering Von dort sukzessiver Zugriff auf die ProdukSonsnetze (keine klare Trennung!) Ausfälle einzelner Komponenten häu<en sich Ein Hochofen konnte nicht mehr kontrolliert heruntergefahren werden! Quelle: BSI

17 Teil 2: Sicherheit von Webanwendungen Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

18 Übersicht Cross-Site-Scripting (XSS) Scriptless Agacks mxss Cloud Computing SaaS- Studie OpenNebula SSL/TLS Historie der Angriffe: krissch oder unkrissch? Bleichenbacher- Angriffe

19 Reflected XSS (non-persistent) 3: GET+ JS-XSS vic$m.com Rendering Javascript AJAX engine 4: HTML + JS-XSS (active) 1 2: HTML + JS-XSS (inactive) avacker.org

20 Stored XSS (persistent) 2: GET vic$m.com Rendering Javascript AJAX engine 3: HTML + JS-XSS 1: HTML + JS-XSS 1 avacker.org

21 DOM based XSS (Local XSS) GET welcome.html 3: GET HTTP 1.1 host: vic$m.com Rendering Javascript AJAX engine 4: HTML 1: GET 5: XSS executed during (local) rendering 2: HTML + <a href= JS-XSS name= <script>alert(document.cookie)</script> >Klick (inactive) me!</a> avacker.org

22 Wie häufig ist XSS? Masterarbeit C. Korolczuk "HTMLSec Sweeper" reflected XSS Typisch für Eingaben in Suchfeldern Alexa Top 500 # Webanwendungen: Seiten: 31,4% verwundbar, 354 Schwachstellen 500 Seiten: 41,6% verwundbar, 527 Schwachstellen ohne Login! HTMLsec sweeper

23 HTML5: Scriptless Attacks World Wide Web Consor$um (www.w3.org) konnte sich mit XHTML nicht durchsetzen Web Hypertext Applica$on Technology Working Group (WHATWG), gegründet 2004, standardisiert HTML5 23

24 HTML5: XSS and Scriptless Attacks 24 No. Time Source Des$na$on Protocol Info HTTP GET /?s HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?e HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?c HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?r HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?e HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?t HTTP/ HTTP HTTP/ OK (text/html)

25 HTML5: XSS and Scriptless Attacks 25

26 HTML5: Even More Scriptless Agacks Paul Stone: Pixel Perfect Timing AVacks Scalable Vector Graphics (SVG)- Bilder erlauben den Einsatz verschiedener Grafikfilter Aus der Verarbeitungszeit dieser Filter kann man auf Inhalte einer anderen Webseite schließen (z.b. History) mxss: Muta$on based XSS DOM Clobbering Problem: Browser werden zunehmend in sicherheitskri$schen Anwendungen eingesetzt: APP- Entwicklung, Cloud (siehe Demo) 26

27 HTML5: mutation XSS

28 HTML5: mutation XSS Harmloses Markup wird erst im Browser "scharfgeschaltet" Beispiel IN: <img src="foo" alt="``onerror=alert(1)" /> OUT: <IMG alt=``onerror=alert(1) src="x">

29 Übersicht Cross-Site-Scripting (XSS) Scriptless Agacks mxss Cloud Computing SaaS- Studie OpenNebula SSL/TLS Historie der Angriffe: krissch oder unkrissch? Bleichenbacher- Angriffe

30 Cloud Computing: Architekturübersicht hvps://www.cloud.de Starte neue VM Speichere Daten Berechne Bilanzsumme 2 Persistente Datenspeicherung 4 Cloud Controller, z.b. Eucalyptus, Open Nebula, Nimbus 3 DHCP DNS 1 VM VM VM VM VM VM VM VM VM Hypervisor Hypervisor Hypervisor Betriebssystem Betriebssystem Betriebssystem Compute Node 1 Compute Node 2 Compute Node 3

31 Amazon AWS: Überblick Screenshot webinterface 31

32 2011: Angriff auf das SOAP-Interface von Amazon AWS und Eucalyptus XML Signature Wrapping, auch für Eucalyptus (private Cloud) 32

33 2014: Angriff auf OpenNebula (private Cloud)

34 Your Software at my Service: Security Analysis of SaaS Single Sign-On Solutions in the Cloud Analyse von 22 SaaS-Providern: 20 konnten kompromittiert werden Erfolgreiche Kompromittierung: Login mit fremdem Account Zugriff auf fremde Daten ohne Login Angriffsmethoden: Signature Exclusion, fake Cer$ficates XML External En$ty AVacks, XSLT, Replay Recipient Confusion, XSW, Cer$ficate Injec$on

35 Evalua$on Results

36 Übersicht Cross-Site-Scripting (XSS) Scriptless Agacks mxss Cloud Computing SaaS- Studie OpenNebula SSL/TLS Historie der Angriffe: krissch oder unkrissch? Bleichenbacher- Angriffe

37 SSL/TLS: Historie der Angriffe 2014: Heartbleed, 3Shake, Poodle, Bleichenbacher 2015: Freak, SmackTLS

38 Neue Bleichenbacher-Seitenkanäle

39 Neue Bleichenbacher-Seitenkanäle Oracle JSSE 1

40 Neue Bleichenbacher-Seitenkanäle Oracle JSSE 2 Exception-Handling in Java ist ein Problem JSSE- Server überprü< PKCS#1- Struktur Im Fehlerfall wird eine ExcepSon geworfen Zeitunterschied: 20μs, meßbar über das Netzwerk

41 Neue Bleichenbacher-Seitenkanäle Cavium Chip Eigenimplementierung der PKCS#1- Prüfung im Cavium-Chip Chip überprü< nur, ob 0x?? 0x02 gegeben ist Falls nicht, meßbarer Zeitunterschied von 10μs

42 Neue Bleichenbacher-Seitenkanäle Fazit

43 Fazit Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

44 Fazit BSI-Lagebericht 2014 Sicherheitsvorfälle häufen sich und werden zunehmend gefährlicher Angreifer verwenden überwiegend alte, bekannt Methoden Forschung Akademisch sind sehr viel mehr Systeme angreipar, durch "Responsible Disclosure" Beitrag zur Verbesserung der IT- Sicherheit Zusammenarbeit muss verbessert werden, viele Anregungen werden von der Industrie nicht aufgenommen: Fachkrä<emangel!

45 Horst Görtz Institut für IT-Sicherheit

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Andreas Könen Bundesamt für Sicherheit in der Informationstechnik Memo Tagung 2. und 3. Juni 2014-1- Das BSI... ist eine unabhängige

Mehr

Inhaltsverzeichnis. Vorwort. 1 Informationstechnik: vernetzt, komplex, allgegenwärtig. 2 Gefährdungslage. 2.1 Ursachen

Inhaltsverzeichnis. Vorwort. 1 Informationstechnik: vernetzt, komplex, allgegenwärtig. 2 Gefährdungslage. 2.1 Ursachen Die Lage der IT-Sicherheit in Deutschland 2014 DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 INHALT Inhaltsverzeichnis Vorwort 1 Informationstechnik: vernetzt, komplex, allgegenwärtig 2 Gefährdungslage

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Cyber-Sicherheitslagebild & IT-Sicherheitslagebild

Cyber-Sicherheitslagebild & IT-Sicherheitslagebild Cyber-Sicherheitslagebild & IT-Sicherheitslagebild Andreas Könen Bundesamt für Sicherheit in der Informationstechnik 18. Bonner Microsoft Tag für Bundesbehörden 21. und 22. Mai 2014-1- Allianz für Cyber-Sicherheit

Mehr

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum?

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Dirk Häger, Fachbereichsleiter Operative Netzabwehr Bundesamt für Sicherheit in der Informationstechnik Jahrestagung CODE,

Mehr

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert PW0029/ Stand: 11/2014 Windows-Systemeinstellungen für die ELSTER-Aktualisierung und Bewerber-Online PW0029_SSL_TLS_poodle_Sicherheitsluecke.pdf Ein Fehler im Protokoll-Design von SSLv3 kann dazu genutzt

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013 Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential. Öffentliche

Mehr

2. Automotive SupplierS Day. Security

2. Automotive SupplierS Day. Security 2. Automotive SupplierS Day Security Cyber security: Demo Cyberangriffe Steigen rasant An BEDROHUNGEN VERÄNDERN SICH: Heutige Angriffe durchdacht und erfolgreich Damage of Attacks DISRUPTION Worms Viruses

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Browser-(Un)Sicherheit Ein buntes Programm

Browser-(Un)Sicherheit Ein buntes Programm Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009 http://testlab.sit.fraunhofer.de Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy?

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Begrüßung & zur Sicherheitslage

Begrüßung & zur Sicherheitslage Begrüßung & zur Sicherheitslage Hergen Harnisch harnisch@rrzn.uni hannover.de Hergen Harnisch, Begrüßung & zur Sicherheitslage, 20. November 2012 Seite 1/25 Programm Montag 19.11.12 09:15 10:00 Sicherheitslage

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Botnetze und DDOS Attacken

Botnetze und DDOS Attacken Botnetze und DDOS Attacken 1 Übersicht Was ist ein Botnetz? Zusammenhang Botnetz DDOS Attacken Was sind DDOS Attacken? 2 Was ist ein Botnetz? Entstehung Entwicklung Aufbau & Kommunikation Motivation Heutige

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02.

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02. XML Wrapping: Die Kunst SAML s zu fälschen Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum 19. DFN Workshop

Mehr

Web Exploit Toolkits - Moderne Infektionsroutinen -

Web Exploit Toolkits - Moderne Infektionsroutinen - Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter

Mehr

SCHWACHSTELLE MENSCH

SCHWACHSTELLE MENSCH KAPITEL 2: SICHERHEIT BEGINNT UND ENDET BEIM BENUTZER SCHWACHSTELLE MENSCH 1 SCHWACHSTELLE MENSCH 2014 hat die NTT Group Millionen von Sieben der zehn häufigsten Sicherheitslücken auf Kundensystemen Sicherheitslücken

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 23. Oktober 2012, S-IHK Hagen Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Web Application Security

Web Application Security Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von

Mehr

Schutz vor Cyber-Angriffen Wunsch oder Realität?

Schutz vor Cyber-Angriffen Wunsch oder Realität? Schutz vor Cyber-Angriffen Wunsch oder Realität? Jan Gassen jan.gassen@fkie.fraunhofer.de 20.06.2012 Forschungsgruppe Cyber Defense Neue Cyber-Angriffe: Flame http://www.tagesschau.de/ausland/flame-virus100.html

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Inhalt Was bisher geschah 2 Was passiert am 8. März 2012? 2 Wie teste ich meine Interneteinstellungen? 3 Auf dem PC 3 Auf dem Router 5 Allgemeine

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Selbstverteidigung im Web

Selbstverteidigung im Web An@- Hacking- Show Selbstverteidigung im Web Marcel Heisig Norman Planner Niklas Reisinger am 27.10.2011 1 Inhalt der Veranstaltung Live- Vorführung gängiger Angriffsszenarien Schutzmaßnahmen Diskussion

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 IT HEUTE UND MORGEN Die Welt im Netz Das Netz wird wichtiger als der Knoten Prozesse statt Computer Cloud, Cloud,

Mehr

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Heartbleed Bug - Was ist zu tun?

Heartbleed Bug - Was ist zu tun? Arbeitsgruppe Websicherheit Heartbleed Bug - Was ist zu tun? Was bedeutet die OpenSSL Sicherheitslücke Heartbleed für die Anbieter und Nutzer von Webdiensten? Was ist zu tun um Schäden zu vermeiden oder

Mehr

Aktuelles zu Bedrohungen und Maßnahmen. im Kontext des nationalen Lagebilds Cybersicherheit

Aktuelles zu Bedrohungen und Maßnahmen. im Kontext des nationalen Lagebilds Cybersicherheit Aktuelles zu Bedrohungen und Maßnahmen im Kontext des nationalen Lagebilds Cybersicherheit Dipl. Math. Klaus Keus Referatsleiter Cyber-Sicherheit: Analyse und Prognose Bundesamt für Sicherheit in der Informationstechnik

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Security. 2013 IBM Corporation

Security. 2013 IBM Corporation Security 1 2013 IBM Corporation IBM X-Force 2013 Mid-Year Trend and Risk Report Carsten Dietrich 2 2013 IBM Corporation X-Force bildet die Basis für Advanced Security and Threat Research für das IBM Security

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit Dirk Häger Bundesamt für Sicherheit in der Informationstechnik Bonn, 13. November 2012 1 Nationales CyberSicherheitsprogramm (BSI) Folie aus 2011 Ziele: die Risiken des Cyber-Raums

Mehr

Sicherheit von Open Source Software

Sicherheit von Open Source Software Sicherheit von Open Source Software Wie sicher ist Open Source Software? Lukas Kairies Gliederung 1. Begriffseinführung 1. Freie Software 2. Open Source Software 2. Sicherheitsphilosophien 1. Open Source

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Trojaner Als Trojaner wird eine Art von Malware bezeichnet, bei der es sich um scheinbar nützliche Software handelt, die aber neben ihrer

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Ruhr-Universität Bochum. Pressespiegel. Quartal 3 2012

Ruhr-Universität Bochum. Pressespiegel. Quartal 3 2012 01.10.2012 Horst Görtz Institut für IT-Sicherheit Ruhr-Universität Bochum Pressespiegel Quartal 3 2012 Der Pressespiegel des Horst Görtz Institutes erscheint einmal im Quartal und gibt einen kleinen Überblick

Mehr

sslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff

sslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff sslstrip und sslstrip und sslstrip und -Header - Syntax -Header - Details Preloaded Sites OWASP Stammtisch München, 18. Februar 2014 - sslstrip und Inhaltsverzeichnis sslstrip und -Header - Syntax -Header

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Herzlich Willkommen zum Live Hacking. Die Hacker: Ralf Wildvang Thomas Pusch

Herzlich Willkommen zum Live Hacking. Die Hacker: Ralf Wildvang Thomas Pusch Herzlich Willkommen zum Live Hacking Die Hacker: Ralf Wildvang Thomas Pusch 1 Vorstellung Ralf Wildvang Senior Berater ML Consulting Berater und Trainer in der Kampagne Sicher gewinnt des Bundes Erstellung

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Deep Discovery. Udo Schneider Trend Micro Udo_Schneider@trendmicro.de. 03.07.2012 Copyright 2012 Trend Micro Inc.

Deep Discovery. Udo Schneider Trend Micro Udo_Schneider@trendmicro.de. 03.07.2012 Copyright 2012 Trend Micro Inc. Deep Discovery Udo Schneider Trend Micro Udo_Schneider@trendmicro.de 03.07.2012 Copyright 2012 Trend Micro Inc. 1 1 APTs und zielgerichtete Angriffe -- The New Norm - IDC A Cyber Intrusion Every 5 Minutes

Mehr

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen

Sebastian. Kübeck. Web-Sicherheit. Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Sebastian Kübeck Web-Sicherheit Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen Einleitung................................................. 11 Teil I Grundlagen der Informationssicherheit......................

Mehr

T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten

T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten Tobias Hahn Fraunhofer Institut für sichere Informationstechnologie (SIT) Vorstellung Tobias Hahn Wissenschaftlicher

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Angriffstechniken In diesem Versuch werden verschiedene Angriffstechniken anhand von Beispielen vorgestellt. Die Ausarbeitung der Übungen

Mehr

Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern

Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern IKS GmbH Jena Information Kommunikation - Systeme Leutragraben 1 D-07743 Jena Telefon: +49-3641-460850 Fax: +49-3641-460855 email: L.Donnerhacke@iks-jena.de

Mehr

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business -

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:

Mehr

Advanced Persistent Threat

Advanced Persistent Threat Advanced Persistent Threat Ivan Bütler Compass Security AG, Schweiz Ivan.buetler@csnc.ch Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Oracle Datenbank Security Lösungen

Oracle Datenbank Security Lösungen Und was kommt nach Heartbleed und ShellShock? Ein kritischer Überblick über die Security Produkte rund um die Oracle Datenbank Themenübersicht Herausforderungen im Security Bereich im letzten Jahr Security

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

PC-Treff BB. Sicherheitslücken und Passwortklau. Günter Waller 1

PC-Treff BB. Sicherheitslücken und Passwortklau. Günter Waller 1 PC-Treff BB Sicherheitslücken und Passwortklau Günter Waller 1 Übersicht Stichwortsammlung zum Thema Sicherheit Seit langem Bekanntes Neue Trends Was man wissen sollte Was jeder tun kann Spezielles, Überraschendes

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Fokus IT-Sicherheit. 70 E-Mails mit Malware gehen pro Stunde im deutschen Regierungsnetz durchschnittlich ein.

Fokus IT-Sicherheit. 70 E-Mails mit Malware gehen pro Stunde im deutschen Regierungsnetz durchschnittlich ein. Fokus IT-Sicherheit 2013 Fokus IT-Sicherheit Überblick IT-Sicherheitslage: Die Bedrohung durch eine Vielzahl von Cyber-Gefahren hält unvermindert an. Weder für Bürger noch für Unternehmen und Behörden

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Sicherheit im Mobile Computing Praxisforum "Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen" 4.12.2014, IHK Akademie München

Sicherheit im Mobile Computing Praxisforum Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen 4.12.2014, IHK Akademie München Dr. Martin Werner Sicherheit im Mobile Computing Praxisforum "Anwender und Anbieter im Dialog - Mobile Sicherheit im Unternehmen" 4.12.2014, IHK Akademie München Dr. Martin Werner Überblick Sicherheit

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

Agenda. Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende

Agenda. Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende Agenda Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende Der Support von Windows XP und Office 2003 wurde eingestellt Microsoft Support Lebenszyklus http://support.microsoft.com/lifecycle

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Viren, Würmer, Trojaner

Viren, Würmer, Trojaner Viren, Würmer, Trojaner Was muss ich beachten? Ralf Benzmüller G DATA Software AG Überblick Einleitung Grundlegende Begriffe Gefahrensituation Zahlen und Daten Trends Infektionsmechanismen Viren Würmer

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Ajax, aber sicher! Carsten Eilers

Ajax, aber sicher! Carsten Eilers Ajax, aber sicher! Carsten Eilers Berater für IT-Sicherheit Autor About Security Standpunkt Sicherheit Schwachstellen-Datenbank Security Aktuell auf entwickler.de Vorstellung Carsten Eilers, www.ceilers-it.de

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

Mehr

Antivirus, Firewall alles sicher? Warum IT-Security ein Prozess ist und kein Produkt sein kann. eevolutions Konferenz 2015 Hildesheim

Antivirus, Firewall alles sicher? Warum IT-Security ein Prozess ist und kein Produkt sein kann. eevolutions Konferenz 2015 Hildesheim Antivirus, Firewall alles sicher? Warum IT-Security ein Prozess ist und kein Produkt sein kann. eevolutions Konferenz 2015 Hildesheim Agenda Alles einfach? Sicherheitsprodukte und Versprechungen Der Sicherheitsprozess

Mehr

Webinar: Content Security in Zeiten von Facebook, Dropbox & Co.

Webinar: Content Security in Zeiten von Facebook, Dropbox & Co. Webinar: Content Security in Zeiten von Facebook, Dropbox & Co. Matthias Partl, M.A. Presales Consultant SFNT Germany GmbH 1 Agenda Web 2.0 Anwendungen im Überblick Trends im Umgang mit Web 2.0 Risiken

Mehr

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann

Web 2.0 und Security MySQL Webinar 30.01.2007 Johann-Peter Hartmann MySQL Webinar 30.01.2007 Johann-Peter Hartmann Agenda Ajax und XSS Bedeutung und Verbreitung von XSS Was sind JavaScript Injections? Warum Web 2.0 und XSS besonders schmerzt Ajax Security Xml HTTP Request,

Mehr

Next Generation Cloud

Next Generation Cloud Next Generation Cloud Building Blocks In Zukunft wird es darum gehen, aus der Summe der Teile Anwendungen (Apps) zu generieren, die Mehrwerte zu schaffen App besteht aus Integration von > Funktionen, z.b.

Mehr

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite IN DER EINFACHHEIT LIEGT DIE KRAFT Business Suite DIE GEFAHR IST DA Online-Gefahren für Ihr Unternehmen sind da, egal was Sie tun. Solange Sie über Daten und/oder Geld verfügen, sind Sie ein potenzielles

Mehr

BMW Financial Services Online-Banking. Freude am Fahren. www.bmwbank.de INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES.

BMW Financial Services Online-Banking. Freude am Fahren. www.bmwbank.de INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES. BMW Financial Services Online-Banking www.bmwbank.de Freude am Fahren INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES. INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN.

Mehr

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Versionshinweise McAfee Advanced Threat Defense 3.0 Revision A Inhalt Über dieses Dokument Funktionen von McAfee Advanced Threat Defense 3.0 Gelöste Probleme Hinweise zur Installation und Aktualisierung

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Trend Micro - Deep Security

Trend Micro - Deep Security Trend Micro - Deep Security Oliver Truetsch-Toksoy Regional Account Manager Trend Micro Gegründet vor 26 Jahren, Billion $ Security Software Pure-Play Hauptsitz in Japan Tokyo Exchange Nikkei Index, Symbol

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

HFT App. Prof. Dr. Gerhard Wanner Michael Kolb B.Sc. Sonntag, 26. Mai 13

HFT App. Prof. Dr. Gerhard Wanner Michael Kolb B.Sc. Sonntag, 26. Mai 13 HFT App Prof. Dr. Gerhard Wanner Michael Kolb B.Sc. 1 Die Hochschule 2 3 HFT Stuttgart Gegründet 1832 als Winterschule für Bauhandwerker 3.700 Studierende über 100 Professoren über 350 Lehrbeauftragte

Mehr

Die perfekte Online-Hilfe auf Basis von HTML5 und Open-Source- Komponenten. Jochen Marczinzik 11.04.2014, tekom Führjahrstagung

Die perfekte Online-Hilfe auf Basis von HTML5 und Open-Source- Komponenten. Jochen Marczinzik 11.04.2014, tekom Führjahrstagung Die perfekte Online-Hilfe auf Basis von HTML5 und Open-Source- Komponenten Jochen Marczinzik 11.04.2014, tekom Führjahrstagung 1 Zur Person Dipl.-Inf. (Univ.) Jochen Marczinzik 1993 1999 DATEV eg Entwickler

Mehr

Ein Plädoyer für mehr Sicherheit

Ein Plädoyer für mehr Sicherheit FACHARTIKEL 2014 Oder: Warum Zwei-Faktor-Authentifizierung selbstverständlich sein sollte Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. Oder: Warum Zwei-Faktor-Authentifizierung

Mehr

Symantec Endpoint Protec1on 12 Michael Hoos, Technischer Direktor Central EMEA

Symantec Endpoint Protec1on 12 Michael Hoos, Technischer Direktor Central EMEA Symantec Endpoint Protec1on 12 Michael Hoos, Technischer Direktor Central EMEA Michael_Hoos@Symantec.com 1 BedrohungslandschaB 2010 - Trends Targeted AGacks con;nued to evolve Social Networking + social

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr