Aktuelle Angriffsszenarien für Webanwendungen

Größe: px
Ab Seite anzeigen:

Download "Aktuelle Angriffsszenarien für Webanwendungen"

Transkript

1 Aktuelle Angriffsszenarien für Webanwendungen Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

2 Die Ruhr-Universität Bochum (RUB) Das HGI 2014 Rückblick Die Ruhr-Universität Bochum (RUB) Baubeginn Januar 1964 Start im Juni Fakultäten (Volluniversität) Mehr als Studierende Mehr als Beschäftigte Mehr als 450 Professuren

3 Das Horst Görtz Institut für IT-Sicherheit Das HGI 2014 Rückblick Das Horst Görtz Institut für IT- Sicherheit Gründung: Arbeitsgruppen 80+ WissenschaftlerInnen 800+ ITS-Studierende 4 Studiengänge 60+ Absolventen pro Jahr 100+ Projektpartner Viele (internationale) Preise

4 Struktur Beteiligte Lehrstühle und Arbeitsgruppen Text

5 Studium der IT-Sicherheit Studienangebot und Aufbau Text

6 Das ist IT-Sicherheit Netz- und Datensicherheit Beispiel: Internetsicherheit Systemsicherheit Beispiel: Telemedizin Eingebettete Sicherheit Beispiel: Autotüren öffnen

7 Teil 1: Der BSI-Lagebericht 2014 Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

8 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Klare Beschreibung der Situation Sta$s$ken und Fallbeispiele Vorteile einer Meldepflicht für Sicherheitsvorfälle werden dargestellt exis$ert für Bundesbehörden Im Vorwort Verweis auf das geplante IT- Sicherheitsgesetz wird gerade im Bundestag disku$ert Die Lage ist nicht gut!

9 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Ursachen Generische Angriffspla0orm Internet "Digitale Sorglosigkeit" (Ungeprü<e APPs!) Schwachstellen in So<ware Veraltete und ungepatchte So<ware Mobile Endgeräte ("Always on"!) Unzureichende Absicherung industrieller Steuerungssysteme (Fallbeispiel)

10 Produktsupport ausgelaufen ist, sollten nicht Bedeutung. Diese sind zunehmend gezwungen, eine Priorisierung bei der Beseitigung von bereich ein Problem, mehr sondern erfolgen. betreffen Aktuelles in gleicher Beispiel ist Microsoft Ungepatchte Systeme der Regel sind nicht auch nur keine im Sicherheitsaktualisierungen Desktop- Weise auch den Server- Windows und XP, Mobilbereich: dessen erweiterter Produktsupport im April 2014 endete. Seit diesem Zeitpunkt gibt Webseiten, 8 Version 1.3 der Serversoftware Apache verwendeten. Im Mobilbereich sind insbesondere auf Sicherheitsupdates. Dennoch lag der Marktanteil Herausgabe eines Sicherheitsupdates ( Patch ) versionen anzutreffen. noch 9 bei Viele über Hersteller acht Prozent, von End-weltweit bei mehr als von Windows XP in Deutschland Mitte des Jahres eine rasche Einspielung dieser Softwareaktualisierungen zwingend erforderlich. Falls Details oder geräten stellen die Aktualisierungen 10 nur für eine gar Exploits, die eine bestimmte Schwachstelle kurze Zeitspanne bereit. Spätestens mit Erscheinen des jährlichen Nachfolgemodells wird die Hoher Zeitdruck in der SW- Entwicklung ausnutzen, vor dem Patch des Softwareherstellers an die Öffentlichkeit Einsatz gelangen veralteter (Zero-Day-Exploits), Software und Unterstützung älterer Versionen eingestellt. Neu ist bei einem bedingt Einsatz ungepatchter der betroffenen Sicherheitslücken Systeme Software entdeckte Sicherheitslücken werden dann nicht höchste Vorsicht geboten gab es bis Ende Juli mehr gepatcht und stellen somit eine Gefahr für fünf öffentlich bekannte Vorfälle dieser Art. ältere Geräte dar Das Einspielen von Softwareaktualisierungen ist eine Grundvoraussetzung für ein sicheres Generell IT- gilt: Softwareprodukte, bei denen der System. Veraltete Patchstände von Betriebssystemen und Applikationen sind dennoch eines der Produktsupport ausgelaufen ist, sollten nicht Hauptprobleme, die bei Audits und Penetrationstests des BSI in Behörden festgestellt werden. mehr erfolgen. Aktuelles Beispiel ist Microsoft der Regel auch keine Sicherheitsaktualisierungen Auch viele Systeme von Privatanwendern Windows sind XP, dessen erweiterter Produktsupport nicht immer auf dem aktuellen Stand. im April 2014 endete. Seit diesem Zeitpunkt gibt Sicherheitsupdates. Dennoch lag der Marktanteil Trotz der gängigen Empfehlung, Auto-Update- von Windows XP in Deutschland Mitte des Jahres Tabelle 1: Auswahl Funktionalitäten von Softwareprodukten mit zu hoher nutzen, Relevanz haben in Deutschland nach Erkenntnissen von IT-Experten 10 Schwachstellen Davon kritisch noch bei über acht Prozent, weltweit bei mehr als mindestens zehn Prozent aller eingesetzten Windows-Betriebssysteme und anderer gängiger Abbildung 1: Anzahl aller Schwachstellen der gelisteten Softwareprodukte Einsatz Softwareprodukte veralteter Software veraltete und Patchstände. 7 * Die Werte für das Jahr 2014 wurden auf Basis der ermittelten Anzahl der ungepatchter Systeme Schwachstellen bis September hochgerechnet. RUHR-UNIVERSITÄT BOCHUM Die Schwachstellen Lage vorzunehmen der IT-Sicherheit und sich auf in Deutschland kritische Schwachstellen zu konzentrieren (BSI) durch den Softwarehersteller bekannt. Daher ist Schwachstellen Tabelle 1: Auswahl von Softwareprodukten mit hoher in Relevanz Software Das Einspielen von Softwareaktualisierungen ist eine Grundvoraussetzung für ein sicheres IT- Quelle: BSI

11 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Fallbeispiele Bundesverwaltung: Angriffe auf das Regierungs- netz, die mit normalen Methoden nicht erkannt werden können; davon 1 pro Tag von Nachrichtendiensten Privatanwender: 34 Millionen Benutzernamen/ Passwörter "aufgefunden"; mehrere Millionen Fritz!Box Homerouter komplev übernehmbar; Geodo Onlinebanking- Trojaner (Drive- by- Download); ibanking- Schadso^ware gegen smstan; Wirtscha<: Heartbleed (SSL); Dragonfly (Produk$onsnetze); Ebury (SSH); ShellShock (Bash- Shell); BankroV Fa. CodeSpaces nach Datenlöschung in der Cloud Quelle: BSI

12 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Angriffsmethoden SPAM, Botnetze, Social Engineering, IdenStätsdiebstahl, DoS Schadprogramme Drive- By- Exploits und Exploit- Toolkits Advanced Persistent Threats (APT) Nachrichtendienstliche Cyberangriffe Angreifer Cyber- Kriminelle, Nachrichtendienste, HackSvisten, Innentäter

13 ggf. ungeschützt. Klassische signaturbasierte Komponenten von Virenschutzprogrammen stoßen dadurch zunehmend an die Grenzen ihrer Wirksamkeit, wodurch eine Fortentwicklung der Schutzmaßnahmen notwendig wird. Weiterhin betreiben die Entwickler der Schadprogramme viel Aufwand, um mit immer neuen Methoden Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Schadprogramme eine manuelle Analyse von Schadprogrammen täglich und Vorfällen neue durch Analysten Schadso<warevarianten und Forensiker kein InformaSonsvorteil für Verteidiger oder im Betr programme u Webseitenbe nannten Exp Exploits kom Einsatz, die a Schwachstell grammen zu Watering-Ho Exploits für g Abbildung 3: Anzahl Windows-Schadsoftwarevarianten Lage Drive-by-E gezielt kom platziert. Laut einer A sing-daten Drive-by-E Schadsoftw Quelle: BSI Deutschlan

14 RUHR-UNIVERSITÄT BOCHUM Die Lage Abbildung 3: Anzahl der Windows-Schadsoftwarevarianten IT-Sicherheit in Deutschland 2014 (BSI) Drive-By-Exploits und Toolkits gezielt kompromittierten verwundbaren Webseiten platziert. Laut einer Auswertung der Google Safe-Browsing-Daten 12 lag der Anteil von Webseiten mit Drive-by-Exploits oder anderer Verbreitung von Schadsoftware in den letzten zwölf Monaten in Deutschland bei vier Prozent. Schwach stellen im Internet Explorer. Auch Oracle Java ist weiterhin ein beliebtes Angriffsziel, wenn auch nicht mehr so im Fokus wie noch Rechner wird nach bloßem Betrachten der Webseite kompromi_ert (Landing Page) Code-Einbettung einer Exploit-Webseite Opfersystem Aufruf einer Exploit-Website über beliebig viele Umleitungen Exploit-Webseite Auslieferung von Exploit-Code, Ausnutzung einer Schwachstelle, Befehl zur Installation eines Dropper -Schadprogramms Nachladen des Dropper -Schadprogramms über beliebig viele Weiterleitungen Nachlade-Webseite für Schadprogramme Auslieferung des Dropper -Schadprogramms, das von diesem oder anderen Servern die eigentlichen Schadprogramme nachlädt Abbildung 4: Beispiel einer Schadprogramminfektion per Drive-by-Exploit Quelle: BSI

15 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) Drive-By-Exploits und Toolkits Google Safe- Browsing: 4% aller Webseiten sind verseucht Infizierung über Werbebanner (350 Server in Deutschland verseucht in 2013) Toolkits: Viele ältere Exploits werden auf einer Webseite gebündelt; professionelle Erstellung der Toolkits Quelle: BSI

16 Die Lage der IT-Sicherheit in Deutschland 2014 (BSI) APT-Fallbeispiel: Angriff auf Stahlwerk IniSaler Zugriff auf das Büronetz migels Spear- Phishing und Social Engineering Von dort sukzessiver Zugriff auf die ProdukSonsnetze (keine klare Trennung!) Ausfälle einzelner Komponenten häu<en sich Ein Hochofen konnte nicht mehr kontrolliert heruntergefahren werden! Quelle: BSI

17 Teil 2: Sicherheit von Webanwendungen Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

18 Übersicht Cross-Site-Scripting (XSS) Scriptless Agacks mxss Cloud Computing SaaS- Studie OpenNebula SSL/TLS Historie der Angriffe: krissch oder unkrissch? Bleichenbacher- Angriffe

19 Reflected XSS (non-persistent) 3: GET+ JS-XSS vic$m.com Rendering Javascript AJAX engine 4: HTML + JS-XSS (active) 1 2: HTML + JS-XSS (inactive) avacker.org

20 Stored XSS (persistent) 2: GET vic$m.com Rendering Javascript AJAX engine 3: HTML + JS-XSS 1: HTML + JS-XSS 1 avacker.org

21 DOM based XSS (Local XSS) GET welcome.html 3: GET HTTP 1.1 host: vic$m.com Rendering Javascript AJAX engine 4: HTML 1: GET 5: XSS executed during (local) rendering 2: HTML + <a href= JS-XSS name= <script>alert(document.cookie)</script> >Klick (inactive) me!</a> avacker.org

22 Wie häufig ist XSS? Masterarbeit C. Korolczuk "HTMLSec Sweeper" reflected XSS Typisch für Eingaben in Suchfeldern Alexa Top 500 # Webanwendungen: Seiten: 31,4% verwundbar, 354 Schwachstellen 500 Seiten: 41,6% verwundbar, 527 Schwachstellen ohne Login! HTMLsec sweeper

23 HTML5: Scriptless Attacks World Wide Web Consor$um (www.w3.org) konnte sich mit XHTML nicht durchsetzen Web Hypertext Applica$on Technology Working Group (WHATWG), gegründet 2004, standardisiert HTML5 23

24 HTML5: XSS and Scriptless Attacks 24 No. Time Source Des$na$on Protocol Info HTTP GET /?s HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?e HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?c HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?r HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?e HTTP/ HTTP HTTP/ OK (text/html) HTTP GET /?t HTTP/ HTTP HTTP/ OK (text/html)

25 HTML5: XSS and Scriptless Attacks 25

26 HTML5: Even More Scriptless Agacks Paul Stone: Pixel Perfect Timing AVacks Scalable Vector Graphics (SVG)- Bilder erlauben den Einsatz verschiedener Grafikfilter Aus der Verarbeitungszeit dieser Filter kann man auf Inhalte einer anderen Webseite schließen (z.b. History) mxss: Muta$on based XSS DOM Clobbering Problem: Browser werden zunehmend in sicherheitskri$schen Anwendungen eingesetzt: APP- Entwicklung, Cloud (siehe Demo) 26

27 HTML5: mutation XSS

28 HTML5: mutation XSS Harmloses Markup wird erst im Browser "scharfgeschaltet" Beispiel IN: <img src="foo" alt="``onerror=alert(1)" /> OUT: <IMG alt=``onerror=alert(1) src="x">

29 Übersicht Cross-Site-Scripting (XSS) Scriptless Agacks mxss Cloud Computing SaaS- Studie OpenNebula SSL/TLS Historie der Angriffe: krissch oder unkrissch? Bleichenbacher- Angriffe

30 Cloud Computing: Architekturübersicht hvps://www.cloud.de Starte neue VM Speichere Daten Berechne Bilanzsumme 2 Persistente Datenspeicherung 4 Cloud Controller, z.b. Eucalyptus, Open Nebula, Nimbus 3 DHCP DNS 1 VM VM VM VM VM VM VM VM VM Hypervisor Hypervisor Hypervisor Betriebssystem Betriebssystem Betriebssystem Compute Node 1 Compute Node 2 Compute Node 3

31 Amazon AWS: Überblick Screenshot webinterface 31

32 2011: Angriff auf das SOAP-Interface von Amazon AWS und Eucalyptus XML Signature Wrapping, auch für Eucalyptus (private Cloud) 32

33 2014: Angriff auf OpenNebula (private Cloud)

34 Your Software at my Service: Security Analysis of SaaS Single Sign-On Solutions in the Cloud Analyse von 22 SaaS-Providern: 20 konnten kompromittiert werden Erfolgreiche Kompromittierung: Login mit fremdem Account Zugriff auf fremde Daten ohne Login Angriffsmethoden: Signature Exclusion, fake Cer$ficates XML External En$ty AVacks, XSLT, Replay Recipient Confusion, XSW, Cer$ficate Injec$on

35 Evalua$on Results

36 Übersicht Cross-Site-Scripting (XSS) Scriptless Agacks mxss Cloud Computing SaaS- Studie OpenNebula SSL/TLS Historie der Angriffe: krissch oder unkrissch? Bleichenbacher- Angriffe

37 SSL/TLS: Historie der Angriffe 2014: Heartbleed, 3Shake, Poodle, Bleichenbacher 2015: Freak, SmackTLS

38 Neue Bleichenbacher-Seitenkanäle

39 Neue Bleichenbacher-Seitenkanäle Oracle JSSE 1

40 Neue Bleichenbacher-Seitenkanäle Oracle JSSE 2 Exception-Handling in Java ist ein Problem JSSE- Server überprü< PKCS#1- Struktur Im Fehlerfall wird eine ExcepSon geworfen Zeitunterschied: 20μs, meßbar über das Netzwerk

41 Neue Bleichenbacher-Seitenkanäle Cavium Chip Eigenimplementierung der PKCS#1- Prüfung im Cavium-Chip Chip überprü< nur, ob 0x?? 0x02 gegeben ist Falls nicht, meßbarer Zeitunterschied von 10μs

42 Neue Bleichenbacher-Seitenkanäle Fazit

43 Fazit Prof. Dr. Jörg Schwenk Lehrstuhl Netz- und Datensicherheit

44 Fazit BSI-Lagebericht 2014 Sicherheitsvorfälle häufen sich und werden zunehmend gefährlicher Angreifer verwenden überwiegend alte, bekannt Methoden Forschung Akademisch sind sehr viel mehr Systeme angreipar, durch "Responsible Disclosure" Beitrag zur Verbesserung der IT- Sicherheit Zusammenarbeit muss verbessert werden, viele Anregungen werden von der Industrie nicht aufgenommen: Fachkrä<emangel!

45 Horst Görtz Institut für IT-Sicherheit

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung Andreas Könen Bundesamt für Sicherheit in der Informationstechnik Memo Tagung 2. und 3. Juni 2014-1- Das BSI... ist eine unabhängige

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum?

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Dirk Häger, Fachbereichsleiter Operative Netzabwehr Bundesamt für Sicherheit in der Informationstechnik Jahrestagung CODE,

Mehr

IT Sicherheit für Industrieanlagen unter Berücksichtigung des IT Sicherheitsgesetzes

IT Sicherheit für Industrieanlagen unter Berücksichtigung des IT Sicherheitsgesetzes IT Sicherheit für Industrieanlagen unter Berücksichtigung des IT Sicherheitsgesetzes Holger Junker ics-sec@bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik (BSI) Das BSI Bekannte Fälle STUXNET

Mehr

Reale Angriffsszenarien Clientsysteme, Phishing & Co.

Reale Angriffsszenarien Clientsysteme, Phishing & Co. IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Clientsysteme, Phishing & Co. hans-joachim.knobloch@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Viren

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Browser-(Un)Sicherheit Ein buntes Programm

Browser-(Un)Sicherheit Ein buntes Programm Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009 http://testlab.sit.fraunhofer.de Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy?

Mehr

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL BEISPIELE WELTWEIT ERFOLGREICHER CYBER-ANGRIFFER JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen Softwareentwicklern wurden infiziert

Mehr

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Inhaltsverzeichnis. Vorwort. 1 Informationstechnik: vernetzt, komplex, allgegenwärtig. 2 Gefährdungslage. 2.1 Ursachen

Inhaltsverzeichnis. Vorwort. 1 Informationstechnik: vernetzt, komplex, allgegenwärtig. 2 Gefährdungslage. 2.1 Ursachen Die Lage der IT-Sicherheit in Deutschland 2014 DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 INHALT Inhaltsverzeichnis Vorwort 1 Informationstechnik: vernetzt, komplex, allgegenwärtig 2 Gefährdungslage

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

SCHWACHSTELLE MENSCH

SCHWACHSTELLE MENSCH KAPITEL 2: SICHERHEIT BEGINNT UND ENDET BEIM BENUTZER SCHWACHSTELLE MENSCH 1 SCHWACHSTELLE MENSCH 2014 hat die NTT Group Millionen von Sieben der zehn häufigsten Sicherheitslücken auf Kundensystemen Sicherheitslücken

Mehr

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert PW0029/ Stand: 11/2014 Windows-Systemeinstellungen für die ELSTER-Aktualisierung und Bewerber-Online PW0029_SSL_TLS_poodle_Sicherheitsluecke.pdf Ein Fehler im Protokoll-Design von SSLv3 kann dazu genutzt

Mehr

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013 Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential. Öffentliche

Mehr

Cyber-Sicherheitslagebild & IT-Sicherheitslagebild

Cyber-Sicherheitslagebild & IT-Sicherheitslagebild Cyber-Sicherheitslagebild & IT-Sicherheitslagebild Andreas Könen Bundesamt für Sicherheit in der Informationstechnik 18. Bonner Microsoft Tag für Bundesbehörden 21. und 22. Mai 2014-1- Allianz für Cyber-Sicherheit

Mehr

Web Application Security

Web Application Security Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von

Mehr

Cyberraum und Cybersicherheit: eine neue politische Dimension

Cyberraum und Cybersicherheit: eine neue politische Dimension Cyberraum und Cybersicherheit: eine neue politische Dimension Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik Internationaler Club La Redoute, 26. Mai 2014 IT = Alltag

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 IT HEUTE UND MORGEN Die Welt im Netz Das Netz wird wichtiger als der Knoten Prozesse statt Computer Cloud, Cloud,

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Botnetze und DDOS Attacken

Botnetze und DDOS Attacken Botnetze und DDOS Attacken 1 Übersicht Was ist ein Botnetz? Zusammenhang Botnetz DDOS Attacken Was sind DDOS Attacken? 2 Was ist ein Botnetz? Entstehung Entwicklung Aufbau & Kommunikation Motivation Heutige

Mehr

Web Exploit Toolkits - Moderne Infektionsroutinen -

Web Exploit Toolkits - Moderne Infektionsroutinen - Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1 Die Vortragenden Dominik Birk Mitarbeiter

Mehr

Der Nutzer im Fokus des Angreifers

Der Nutzer im Fokus des Angreifers Der Nutzer im Fokus des Angreifers... und was man dagegen tun kann 9. Tagung DFN-Nutzergruppe Hochschulverwaltung 12. Mai 2009, Leipzig Klaus-Peter Kossakowski, Marcus Pattloch (cert@dfn.de) Übersicht

Mehr

Begrüßung & zur Sicherheitslage

Begrüßung & zur Sicherheitslage Begrüßung & zur Sicherheitslage Hergen Harnisch harnisch@rrzn.uni hannover.de Hergen Harnisch, Begrüßung & zur Sicherheitslage, 20. November 2012 Seite 1/25 Programm Montag 19.11.12 09:15 10:00 Sicherheitslage

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser?

Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser? Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 23. Oktober 2012, S-IHK Hagen Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

2. Automotive SupplierS Day. Security

2. Automotive SupplierS Day. Security 2. Automotive SupplierS Day Security Cyber security: Demo Cyberangriffe Steigen rasant An BEDROHUNGEN VERÄNDERN SICH: Heutige Angriffe durchdacht und erfolgreich Damage of Attacks DISRUPTION Worms Viruses

Mehr

Webseiten und Web-Apps grafisch gestalten mit HTML5 Canvas ohne Flash und sonstige Tools

Webseiten und Web-Apps grafisch gestalten mit HTML5 Canvas ohne Flash und sonstige Tools Webseiten und Web-Apps grafisch gestalten mit HTML5 Canvas ohne Flash und sonstige Tools 1 Kurze HTML-Geschichte Die HTML4-Spezifikation wurde im Dezember 1997 vorgelegt. Seitdem Stagnation! Das W3C arbeitete

Mehr

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business -

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

IT-Sicherheit: Herausforderungen und Quick-Wins Vorstellung der Handlungsempfehlungen des KKI e.v.

IT-Sicherheit: Herausforderungen und Quick-Wins Vorstellung der Handlungsempfehlungen des KKI e.v. IT-Sicherheit: Herausforderungen und Quick-Wins Vorstellung der Handlungsempfehlungen des KKI e.v. Lehrstuhl für Wirtschaftsinformatik und Electronic Government Universität Potsdam Chair of Business Information

Mehr

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Schwachstellen Gefahr erkennen Gefahr bewerten Gefahr beseitigen Thomas Ranke (Vertrieb Nord) baramundi

Mehr

Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit Allianz für Cyber-Sicherheit Dirk Häger Bundesamt für Sicherheit in der Informationstechnik Bonn, 13. November 2012 1 Nationales CyberSicherheitsprogramm (BSI) Folie aus 2011 Ziele: die Risiken des Cyber-Raums

Mehr

Security. 2013 IBM Corporation

Security. 2013 IBM Corporation Security 1 2013 IBM Corporation IBM X-Force 2013 Mid-Year Trend and Risk Report Carsten Dietrich 2 2013 IBM Corporation X-Force bildet die Basis für Advanced Security and Threat Research für das IBM Security

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Identity Management mit OpenID

Identity Management mit OpenID Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Identity Management mit OpenID Innovative Internet Technologien und Mobilkommunikation WS2008/2009 Verfasser:

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

sslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff

sslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff sslstrip und sslstrip und sslstrip und -Header - Syntax -Header - Details Preloaded Sites OWASP Stammtisch München, 18. Februar 2014 - sslstrip und Inhaltsverzeichnis sslstrip und -Header - Syntax -Header

Mehr

Home-Router als Hintertürchen ins Geschäftsnetzwerk?

Home-Router als Hintertürchen ins Geschäftsnetzwerk? Home-Router als Hintertürchen ins Geschäftsnetzwerk? walter.sprenger@csnc.ch TEFO, 19. November 2015 Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02.

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02. XML Wrapping: Die Kunst SAML s zu fälschen Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum 19. DFN Workshop

Mehr

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite

IN DER EINFACHHEIT LIEGT DIE KRAFT. Business Suite IN DER EINFACHHEIT LIEGT DIE KRAFT Business Suite DIE GEFAHR IST DA Online-Gefahren für Ihr Unternehmen sind da, egal was Sie tun. Solange Sie über Daten und/oder Geld verfügen, sind Sie ein potenzielles

Mehr

Die Sicherheit von IT-Systemen und digitaler Infrastruktur

Die Sicherheit von IT-Systemen und digitaler Infrastruktur Die Sicherheit von IT-Systemen und digitaler Infrastruktur Berlin, 10. Juli 2015 Gliederung Nutzung von IT und Internet Arten von Cyberangriffen Cybersicherheitslage Vertrauen in die Nutzung des Internets

Mehr

Sicherheit bei PCs, Tablets und Smartphones

Sicherheit bei PCs, Tablets und Smartphones Michaela Wirth, IT-Sicherheit http://www.urz.uni-heidelberg.de/it-sicherheitsregeln Stand März 2015 Computer sind aus unserem Alltag nicht mehr wegzudenken. PCs, Notebooks, Tablets und Smartphones begleiten

Mehr

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz von IT-Dienststrukturen durch das DFN-CERT Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz - Warum? Folie 2 Schutz - Warum? (1) Schutz von IT-Dienststrukturen immer bedeutsamer:

Mehr

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite. ewon - Technical Note Nr. 003 Version 1.2 Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite. Übersicht 1. Thema 2. Benötigte Komponenten 3. Downloaden der Seiten und aufspielen auf

Mehr

Computersicherheit im Informationszeitalter. 15.12.2014 / Seth Buchli

Computersicherheit im Informationszeitalter. 15.12.2014 / Seth Buchli Computersicherheit im Informationszeitalter 15.12.2014 / Seth Buchli Inhalt Computersicherheit... 3 Wireless Sicherheit... 3 Sichere Passwörter erzeugen und merken... 4 Auskünfte am Telefon... 4 Post Werbegeschenke...

Mehr

G DATA MOBILE MALWARE REPORT

G DATA MOBILE MALWARE REPORT G DATA MOBILE MALWARE REPORT GEFAHRENBERICHT: Q3/2015 1 INHALTE Auf einen Blick 03-03 Prognosen und Trends 03-03 Aktuelle Lage: Täglich fast 6.400 neue Android-Schaddateien 04-04 Was sind Hacking-Tools?

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Aktuelles zu Bedrohungen und Maßnahmen. im Kontext des nationalen Lagebilds Cybersicherheit

Aktuelles zu Bedrohungen und Maßnahmen. im Kontext des nationalen Lagebilds Cybersicherheit Aktuelles zu Bedrohungen und Maßnahmen im Kontext des nationalen Lagebilds Cybersicherheit Dipl. Math. Klaus Keus Referatsleiter Cyber-Sicherheit: Analyse und Prognose Bundesamt für Sicherheit in der Informationstechnik

Mehr

Die perfekte Online-Hilfe auf Basis von HTML5 und Open-Source- Komponenten. Jochen Marczinzik 11.04.2014, tekom Führjahrstagung

Die perfekte Online-Hilfe auf Basis von HTML5 und Open-Source- Komponenten. Jochen Marczinzik 11.04.2014, tekom Führjahrstagung Die perfekte Online-Hilfe auf Basis von HTML5 und Open-Source- Komponenten Jochen Marczinzik 11.04.2014, tekom Führjahrstagung 1 Zur Person Dipl.-Inf. (Univ.) Jochen Marczinzik 1993 1999 DATEV eg Entwickler

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Microsoft Security Intelligence Report

Microsoft Security Intelligence Report Microsoft Security Intelligence Report Ausgabe 12 JULI DEZEMBER 2011 ZUSAMMENFASSUNG DER WICHTIGSTEN ERGEBNISSE www.microsoft.com/sir Microsoft Security Intelligence Report Dieses Dokument dient lediglich

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Cyberspionage konkrete Bedrohung?

Cyberspionage konkrete Bedrohung? Cyberspionage konkrete Bedrohung? walter.sprenger@csnc.ch TEFO, 19. November 2015 Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 team@csnc.ch

Mehr

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Inhalt Was bisher geschah 2 Was passiert am 8. März 2012? 2 Wie teste ich meine Interneteinstellungen? 3 Auf dem PC 3 Auf dem Router 5 Allgemeine

Mehr

Schutz vor Cyber-Angriffen Wunsch oder Realität?

Schutz vor Cyber-Angriffen Wunsch oder Realität? Schutz vor Cyber-Angriffen Wunsch oder Realität? Jan Gassen jan.gassen@fkie.fraunhofer.de 20.06.2012 Forschungsgruppe Cyber Defense Neue Cyber-Angriffe: Flame http://www.tagesschau.de/ausland/flame-virus100.html

Mehr

Wie Unternehmen 2014 kompromittiert werden

Wie Unternehmen 2014 kompromittiert werden Wie Unternehmen 2014 kompromittiert werden Audits Trainings Intelligence Audits IT Penetration Tests Social Engineering Physical Security Tests Audits Tiger Team Assessments Das Internet vor 10 Jahren

Mehr

Computer am Internet. Im DSL-Zeitalter hat der betriebsbereite Computer eine Dauerverbindung zum Internet.

Computer am Internet. Im DSL-Zeitalter hat der betriebsbereite Computer eine Dauerverbindung zum Internet. Computer am Internet Im DSL-Zeitalter hat der betriebsbereite Computer eine Dauerverbindung zum Internet. Folglich ist er während der Betriebsdauer durch kriminelle Aktivitäten im Internet gefährdet. Das

Mehr

Home-Router als Einfallstor ins Firmennetzwerk?

Home-Router als Einfallstor ins Firmennetzwerk? Home-Router als Einfallstor ins Firmennetzwerk? walter.sprenger@csnc.ch BeerTalk, 9. November 2015 Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin Tel. +49 30 21 00 253-0 Fax +49 30

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Arbeitskreis "Mobile Security" - 2. Termin Aktuelle Herausforderungen und Lösungsansätze zum sicheren Einsatz mobiler Endgeräte im Unternehmen

Arbeitskreis Mobile Security - 2. Termin Aktuelle Herausforderungen und Lösungsansätze zum sicheren Einsatz mobiler Endgeräte im Unternehmen Version Date Name File Arbeitskreis "Mobile Security" - 2. Termin Aktuelle Herausforderungen und Lösungsansätze zum sicheren Einsatz mobiler Endgeräte im Unternehmen 6. August 2013 Dr. Raoul- Thomas Herborg

Mehr

Das Angebot zur Informationssicherheit für KMUs

Das Angebot zur Informationssicherheit für KMUs Das Angebot zur Informationssicherheit für KMUs Dr. Varvara Becatorou, Referentin Informationssicherheit IHK für München und Oberbayern IHK Akademie München, 11. Mai 2015 Agenda TOP 1 IT-Sicherheit für

Mehr

Heartbleed Bug - Was ist zu tun?

Heartbleed Bug - Was ist zu tun? Arbeitsgruppe Websicherheit Heartbleed Bug - Was ist zu tun? Was bedeutet die OpenSSL Sicherheitslücke Heartbleed für die Anbieter und Nutzer von Webdiensten? Was ist zu tun um Schäden zu vermeiden oder

Mehr

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

1 Allgemeine Erläuterungen zum WLAN... 2 1.1 Was kann über den WLAN-Zugang genutzt werden?... 2 1.2 Was ist für die Nutzung erforderlich?...

1 Allgemeine Erläuterungen zum WLAN... 2 1.1 Was kann über den WLAN-Zugang genutzt werden?... 2 1.2 Was ist für die Nutzung erforderlich?... WLAN-Zugang // DHBW Mosbach / Rechenzentrum Hinweis: Die Dokumentation des WLAN-Zugangs wird kontinuierlich erweitert und verbessert. Deshalb sollten Sie bei Problemen mit dem WLAN einen Blick in die aktuellste

Mehr

Pareto-Prinzip (80:20 Regel) in der IT Sicherheit

Pareto-Prinzip (80:20 Regel) in der IT Sicherheit Pareto-Prinzip (80:20 Regel) in der IT Sicherheit Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de Inhalt

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Next Generation Cloud

Next Generation Cloud Next Generation Cloud Building Blocks In Zukunft wird es darum gehen, aus der Summe der Teile Anwendungen (Apps) zu generieren, die Mehrwerte zu schaffen App besteht aus Integration von > Funktionen, z.b.

Mehr

Glossar. SVG-Grafiken in Bitmap-Grafikformate. Anweisung Eine Anweisung ist eine Folge aus Schlüsselwörtern, Variablen, Objekten,

Glossar. SVG-Grafiken in Bitmap-Grafikformate. Anweisung Eine Anweisung ist eine Folge aus Schlüsselwörtern, Variablen, Objekten, Glossar Anweisung Eine Anweisung ist eine Folge aus Schlüsselwörtern, Variablen, Objekten, Methoden und/oder Eigenschaften, die eine bestimmte Berechnung ausführt, eine Eigenschaft ändert oder eine Methode

Mehr

Selbstverteidigung im Web

Selbstverteidigung im Web An@- Hacking- Show Selbstverteidigung im Web Marcel Heisig Norman Planner Niklas Reisinger am 27.10.2011 1 Inhalt der Veranstaltung Live- Vorführung gängiger Angriffsszenarien Schutzmaßnahmen Diskussion

Mehr

Herzlich willkommen im Modul Informatik Grundlagen

Herzlich willkommen im Modul Informatik Grundlagen Herbstsemester 2010/2011 Herzlich willkommen im Modul Informatik Grundlagen Wirtschaftsingenieurwesen: 1. Semester Dozent: Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Martin Hüsler 1 Ablauf: 1.

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Wer bin ich? Senior Consultant Enterprise Mobility. MVP Cloud and Datacenter Management

Wer bin ich? Senior Consultant Enterprise Mobility. MVP Cloud and Datacenter Management Wer bin ich? Senior Consultant Enterprise Mobility MVP Cloud and Datacenter Management Kontaktmöglichkeiten Twitter: @Dieter_Rauscher Blog: blog.dieter.rauscher.de/it/ Agenda Herausforderungen an die Mobilität

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

HFT App. Prof. Dr. Gerhard Wanner Michael Kolb B.Sc. Sonntag, 26. Mai 13

HFT App. Prof. Dr. Gerhard Wanner Michael Kolb B.Sc. Sonntag, 26. Mai 13 HFT App Prof. Dr. Gerhard Wanner Michael Kolb B.Sc. 1 Die Hochschule 2 3 HFT Stuttgart Gegründet 1832 als Winterschule für Bauhandwerker 3.700 Studierende über 100 Professoren über 350 Lehrbeauftragte

Mehr

Welche Sicherheit brauchen die Unterehmen?

Welche Sicherheit brauchen die Unterehmen? Welche Sicherheit brauchen die Unterehmen? Ammar Alkassar Vorstand Sirrix AG IuK-Tag NRW 20. November 2014 ı Bochum Ursprünge BMWi-Studie in der Spitzenforschung zur IT-Sicherheit bei Industrie 4.0 Gegründet

Mehr

Sicherheit von Open Source Software

Sicherheit von Open Source Software Sicherheit von Open Source Software Wie sicher ist Open Source Software? Lukas Kairies Gliederung 1. Begriffseinführung 1. Freie Software 2. Open Source Software 2. Sicherheitsphilosophien 1. Open Source

Mehr

Neue Herausforderungen des Selbstdatenschutzes im Internet

Neue Herausforderungen des Selbstdatenschutzes im Internet Neue Herausforderungen des Selbstdatenschutzes im Internet Christian Krause Technisches Referat im ULD Windows 98 Vielleicht Windows XP. Aber dann natürlich kein Auto-Update! denn Micro$oft ist böse. Internet

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co. Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co. www.bsi-fuer-buerger.de Sicher unterwegs in studivz, Facebook & Co. Die sozialen

Mehr

Ein Plädoyer für mehr Sicherheit

Ein Plädoyer für mehr Sicherheit FACHARTIKEL 2014 Oder: Warum Zwei-Faktor-Authentifizierung selbstverständlich sein sollte Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. Oder: Warum Zwei-Faktor-Authentifizierung

Mehr