ORACLE SECURITY IN DER PRAXIS

Größe: px
Ab Seite anzeigen:

Download "ORACLE SECURITY IN DER PRAXIS"

Transkript

1 carsten MÜTZLITZ ORACLE SECURITY IN DER PRAXIS VOLLSTÄNDIGE SICHERHEITS- ÜBERPRÜFUNG FÜR IHRE ORACLE-DATENBANK EXTRA: Mit kostenlosem E-Book Im Internet: Skripte und Tools im Downloadbereich von Hanser

2 2 Einführung aussetzen, wobei normale Datenbanken lediglich die Mindestsicherheit, also z. B. den Unternehmensstandard, erfüllen sollten. Bei der Sicherheitsüberprüfung stehen Bedrohungen und daraus abgeleitete Risiken im Vordergrund. Sei es eine falsche Konfiguration, schlechter Umgang mit wichtigen Privilegien oder Ähnliches. Diese Bedrohungen und die damit verbundenen Risiken können aufgezeigt werden, doch der Umgang mit diesen Risiken liegt immer bei dem entsprechenden Betrachter. Wird also ein Risiko erkannt, existieren in der Regel Lösungen (wie z. B. das Setzen eines zusätzlichen Parameters), die dieses Risiko abschwächen bzw. vollständig auflösen. Inwieweit das Risiko nun abgeschwächt werden muss oder nicht, ist die Entscheidung des Betrachters und wird nicht in diesem Buch entschieden. Das Buch konzentriert sich auf das Auffinden von Risiken. Ob ein Datenbankbetreiber mit dem Risiko leben kann oder eine Lösung implementieren will, liegt in der Verantwortung des Betreibers. Ich hoffe aber sehr, dass viele der vorgestellten Konzepte implementiert werden, denn wie gesagt, es geht um unsere Daten. Letztlich ist die Entscheidung zur Umsetzung einer Lösung für mehr Sicherheit meist abhängig vom Aufwand und den Kosten. Typischerweise nutzt man hier die Überlegung, dass eine Maßnahme zur Risikoabschwächung bei einem angemessenen Verhältnis von Kosten zu Aufwand implementiert werden sollte. Ein etwaiges Restrisiko ist denkbar, wird aber akzeptiert. Bild 2.1 verdeutlicht das. Ein gutes Verhältnis von Kosten- und Risikominimierung wäre genau der Schnittpunkt der Kurven Kosten und Risiko. Dieser Schnittpunkt kann in der Regel Folgendes aussagen: Mit einem vernünftigen Investment (Kosten und/oder Aufwand) wurde ein bestehendes Risiko für das Eintreffen einer Bedrohung so weit abgesenkt, dass zwar noch ein Restrisiko besteht, doch mit diesem Restrisiko kann man gut umgehen. Risiko Hoch Wie findet man diesen Bereich? Geringe Kosten, hohes Risiko Gering Bild 2.1 Risiko- und Kostenabschätzung Bild 2.1 Hohe Kosten, geringes Risiko Kosten Hoch 7

3

4 3 Grundlagen zur IT-Sicherheit bei Datenbanken In der IT-Sicherheit werden Eigenschaften von informationsverarbeitenden Systemen wie Datenbanken beschrieben, die die Vertraulichkeit, Verfügbarkeit, Integrität und gegebenenfalls die Verbindlichkeit des IT-Systems garantieren bzw. sicherstellen. Bei diesen Eigenschaften handelt es sich um Konzepte, die vorhandene oder erweiterte Funktionen eines IT-Systems nutzen, um ein Höchstmaß an Sicherheit zu gewährleisten. Letztendlich sollen dadurch Schäden vermieden und Risiken minimiert werden. Als Beispiel lässt sich der Schutz vor einem eventuellen Ausfall anführen. Eine diesbezügliche Maßnahme zum Schutz vor Ausfall könnte eine redundante Bereitstellung der Systemkomponenten sein. In Bezug auf die Datenbank wäre dies ein produktives Datenbanksystem und eine Standby-Datenbank, die den Betrieb automatisch übernimmt, sobald die produktive Datenbank nicht mehr zur Verfügung steht, weil beispielsweise die Festplattenkapazität nicht mehr ausreicht oder Wartungsarbeiten an dem produktiven Datenbanksystem stattfinden (geplante und nicht geplante Ausfallzeit). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) trifft in seinem definierten IT-Grundschutz eine ganz wichtige Aussage:... Informationssicherheit ist eine grundlegende und prozessübergreifende Anforderung an Institutionen. Das Ziel von Informationssicherheit ist es, Unternehmen vor Schäden zu schützen, nicht nur einzelne Rechner. Daher ist ein ganzheitlicher Ansatz unabdingbar... 1 Diese wichtige Aussage zeigt, dass IT-Sicherheit in seiner Gesamtheit behandelt werden muss. Die eigentliche Datenbanksicherheit kann nur einen, dafür aber überaus wichtigen Teilbereich abbilden. 3.1 Die vier Grundbedrohungen Gefahren wie beispielsweise unerlaubte Zugriffe, Zerstörung von Rechnern und Anwen dungen werden in der IT-Sicherheit in vier wesentliche Bedrohungen aufgeteilt (siehe Bild 3.1): 1 BSI, Überblick IT-Grundschutz, Seite 7, https://www.bsi.bund.de/shareddocs/downloads/de/bsi/ Grundschutz/Download/UberblickGrundschutz.pdf

5 10 3 Grundlagen zur IT-Sicherheit bei Datenbanken Verlust der Vertraulichkeit Der Benutzerkreis, für den eine digitale Information gedacht ist, wird unerlaubterweise aufgebrochen. Als Beispiel der Bedrohung lässt sich der Einsatz von Netzwerk-Sniffern nennen, die in der Lage sind, den Netzwerkverkehr mitzulesen. Technische Gegenmaßnahmen sind eine Zugriffskontrolle und Verschlüsselung. Verlust der Integrität Es kann eine unautorisierte Modifikation von Informationen stattfinden. Die Integrität fordert aber die Unversehrtheit der Daten. Wenn also von einer Datenbank der Wert an die Anwendung gesendet wird, soll auch ein Wert in der Anwendung ankommen. Technische Gegenmaßnahmen sind in der Regel eine Prüfsummenbildung (MD-5, SHA-1, SHA-2) für die Kommunikation bzw. Datenspeicherung. Auch das Erkennen von korrupten Daten ist in diesem Zusammenhang wichtig, also der nicht exakt übereinstimmende Zustand der Daten im Speicher (RAM) und auf der Festplatte. Verlust der Verfügbarkeit Es besteht die Befürchtung, dass Systeme beispielsweise durch mutwillige Zerstörung (Bombenanschlag) oder gezielte digitale Angriffe wie Denial of Service-Attacken2 lahm gelegt werden. Technische Gegenmaßnahmen sind der Ausbau von Hochverfügbarkeits- Grundbedrohungen der IT sind nach wie vor gegeben Vorbemerkungen Verlust der Vertraulichkeit Netzverkehr abhören (sniffer attacks) Knacken kryptografischer Schlüssel und Verfahren (code breaking/key recovery) Angriffe auf Kennwörter (password guessing/cracking) Falsches Rechtekonzept Verarbeitungs-, Übertragungsund Speicherfehler Manipulation von Daten, z. B. durch spoofing attacks: IP spoofing (IP fälschen) DNS spoofing (Fälschung von DNS-Einträgen) Web spoofing (Fälschen von Webseiten) Verlust der Integrität Verlust der Verfügbarkeit Mobile Internet Computing Teleworking Unternehmensnetz Unternehmensnetz BYOD Schlagwörter, die als Bedrohung eingestuft werden, sind: Hacker, Fremdpersonal, eigenes Personal, Fehler, Ausfälle, Fernwartung Wirtschaftsspionage u.v.m. Ausfall Zerstörung Unterbrechung von Diensten (Denial of Service) durch: Ping of death ICMP attacks SYN flooding etc. Rechtsverbindlichkeit elektronisch abgeschlossener Verträge wie z.b. per Fax, Electronic Commerce Gesetzesauflagen Risikofrüherkennung Authentizitätscheck (Who) Verlust der Verbindlichkeit Eine Überwachung ist notwendig, um zu erkennen, ob eine Grundbedrohung ein Risiko darstellt. Bild 3.1 Bild 3.1 Typische Grundbedrohungen in der IT 2 Massive Angriffe auf Systeme mit dem Ziel, diese lahmzulegen

6 3.2 Bedrohungs- und Risikoanalyse 11 konzepten wie der Aufbau von Sicherungsmaßnahmen und Standby-Systemen, aber auch notwendige Performancemaßnahmen und intelligente Konzepte im Umgang mit den Daten. Verlust der Verbindlichkeit Diese Grundbedrohung spielt in der Regel nur im digitalen Geschäftsverkehr eine Rolle. Sie zielt eher auf die Einhaltung von Anforderungen aus dem Signaturgesetz oder dem digitalen Einkauf ab. Die Gefahr ist, dass jemand vorgibt, eine andere Person zu sein. Technische Gegenmaßnahmen sind sichere digitale Signaturen entsprechend dem Signaturgesetz Bedrohungs- und Risikoanalyse Bevor mit der Implementierung von Maßnahmen zur Erhöhung der Sicherheit begonnen wird, sollten das Risiko und die damit verbundenen Bedrohungen des IT-Systems bekannt sein. Typischerweise stufen Anwendungs-Owner ihre Systeme entsprechend einer Datenklassifikation ein und bestimmen über diese gleichzeitig den Schutzbedarf. In der IT-Sicherheit hat sich zur Datenklassifizierung der Ansatz der sogenannten CIA- Triade durchgesetzt (Bild 3.2). C steht für Confidentiality also die Vertraulichkeit, I steht für die Integrität und A steht für Availability, also die Verfügbarkeit. Für jeden Bereich wird eine Bewertungsskala von 1 bis 3 genutzt, wobei 1 = Gering und 3 = Hoch bedeutet. Mit diesen drei Bereichen lassen sich Systeme sehr einfach bewerten und deren Schutzbedarf ableiten. Hierzu ein Beispiel: In einem Unternehmen befindet sich ein System, welches das Rezept für ein sehr populäres braunes Getränk speichert. Dieses System ist völlig unabhängig von anderen Systemen und nur für die sichere Speicherung des Rezepts vorgesehen. Der Business-Owner dieses Systems bewertet das System nach CIA wie folgt: Vertraulichkeit = Hoch (C3) Integrität = Hoch (I3) Verfügbarkeit = Gering (A1) Somit würde ein Datenbankverantwortlicher vermutlich folgende Sicherheitsmaßnahmen ableiten und diese implementieren: Die Anwendung bekommt ein sauberes Zugriffs- und Berechtigungskonzept. Der Netzwerkverkehr sowie die Daten im System werden verschlüsselt. Es wird eine saubere Gewaltenteilung implementiert, so dass gewährleistet ist, dass nur die berechtigten Personen Zugriff auf das Rezept bekommen und nicht etwa die Administratoren. Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz SigG) siehe 3

Dr. Uwe Köhler E-Commerce Sicherheit Die drei e-mythen über Sicherheit Inhalt Definition IT-Sicherheit Zustand eines lt-systems, in dem die Risiken,

Dr. Uwe Köhler E-Commerce Sicherheit Die drei e-mythen über Sicherheit Inhalt Definition IT-Sicherheit Zustand eines lt-systems, in dem die Risiken, Dr. Uwe Köhler Practice Manager ATS Security & intermedia Oracle Consulting E-Commerce Sicherheit Mit Linux Die drei e-mythen über Sicherheit 1. Hacker verursachen den größten Schaden. Fakt: 80% der Datenverluste

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Interne Datensicherheit

Interne Datensicherheit Roadmap Interne Datensicherheit Inhalt: Analyse der Ist-Situation Anforderungsdefinition Auswahl der Lösungen Implementierung und Betrieb Nachhaltigkeit 1 2 3 4 5 Analyse der Ist-Situation 1. Bewertung

Mehr

Daniel Schieber Technical Consultant

Daniel Schieber Technical Consultant Aktueller Status Unternehmensprofil Daniel Schieber Technical Consultant COMCO Fakten: Gründung 1998 als Systemhaus Firmensitz in Dortmund, NRW 42 Mitarbeiter Umsatzerwartung 10 Mio. in 2006 Entwicklung

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Fortbildung Sachbearbeiter EDV

Fortbildung Sachbearbeiter EDV Fortbildung Sachbearbeiter EDV BSB Andreas Brandstätter November 2012 1 / 42 Überblick Themen Hintergrund Anforderungen der Benutzer Schutzziele konkrete Bedeutung Maßnahmen WLAN Datenspeicherung Backup

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2009: Gefährdungen der IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit Aufgabe: Die mehrseitige IT-Sicherheit bestimmt sich anhand

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Botnetze und DDOS Attacken

Botnetze und DDOS Attacken Botnetze und DDOS Attacken 1 Übersicht Was ist ein Botnetz? Zusammenhang Botnetz DDOS Attacken Was sind DDOS Attacken? 2 Was ist ein Botnetz? Entstehung Entwicklung Aufbau & Kommunikation Motivation Heutige

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Sicherheitsdienste in IPv6

Sicherheitsdienste in IPv6 Sicherheitsdienste in IPv6 Dr. Hannes P. Lubich Bank Julius Bär Zürich IP Next Generation - Sicherheitsdienste in IPv6 (1) Motivation Die neuen Benutzungsformen des Internet für Electronic Commerce und

Mehr

IT-Sicherheit im Fakultätsnetz

IT-Sicherheit im Fakultätsnetz IT-Sicherheit im Fakultätsnetz 16.12.2013 Falk Husemann, IRB -1- IT-Sicherheit im Fakultätsnetz Sicherheitsmaßnahmen seit Existenz Seit 2011 eigenes Projekt Secops Unterstützung des operativen Betriebs

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Sparkasse Gießen. Seite 1 von 11. 1 Götz Schartner, 8com GmbH,,,Sicherheit im Internet.

Sparkasse Gießen. Seite 1 von 11. 1 Götz Schartner, 8com GmbH,,,Sicherheit im Internet. Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen oft keinen ausreichenden Schutz, denn

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Auch die Unternehmensgruppe ALDI Nord steht mit einer Vielzahl

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Carl Friedrich von Weizsäcker Friedensvorlesung. Cyber Security Cyber War Cyber Peace. Soziale Sicht. Prof. Dr. Tobias Eggendorfer

Carl Friedrich von Weizsäcker Friedensvorlesung. Cyber Security Cyber War Cyber Peace. Soziale Sicht. Prof. Dr. Tobias Eggendorfer Carl Friedrich von Weizsäcker Friedensvorlesung Cyber Security Cyber War Cyber Peace Soziale Sicht Cyber Internet? Computer? 2 Cyber-War Kriegsführung durch Angriffe auf IT-Systeme Cyber-Security Schutz

Mehr

Informationssicherheit für Juristen: vernachlässigter Prozess?

Informationssicherheit für Juristen: vernachlässigter Prozess? Informationssicherheit für Juristen: vernachlässigter Prozess? Ulrich Brügger Managing Security Consultant ISSS Vorstand, IBM Schweiz AG Es gibt gute Gründe Informationen zu schützen Behördliche Vorgaben

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Technischer Datenschutz im Internet

Technischer Datenschutz im Internet Technischer Datenschutz im Internet Prof. Dr. Lehrstuhl Management der Informationssicherheit Uni Regensburg http://www-sec.uni-regensburg.de/ Was ist Sicherheit? Techniken zum Schutz? Stand der Technik?

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Internet - Sicherheit Telekom Austria s Investition in eine gemeinsame Zukunft

Internet - Sicherheit Telekom Austria s Investition in eine gemeinsame Zukunft Internet - Sicherheit Telekom Austria s Investition in eine gemeinsame Zukunft Name: Armin Sumesgutner Datum. 17.02.2005 Armin Sumesgutner / Robert Hofer-Lombardini 1 Internetnutzung (Quelle Statistik

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Sibylle Schwarz Westsächsische Hochschule Zwickau Dr. Friedrichs-Ring 2a, RII 263 http://wwwstud.fh-zwickau.de/~sibsc/ sibylle.schwarz@fh-zwickau.de WS 2009/2010 Informationssicherheit

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen 4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung

Mehr

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 DKE UK 351.3.7 Hans-Hermann Bock 1 Braunschweig, 06.11.2013 Anwendungsbereich der Vornorm (1) Diese Vornorm ist

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Datenschutz im Client-Management Warum Made in Germany

Datenschutz im Client-Management Warum Made in Germany Datenschutz im Client-Management Warum Made in Germany Wolfgang Schmid 2013 baramundi software AG IT einfach clever managen Wolfgang Schmid, Rechtsanwalt und Fachanwalt IT-Recht Bundesdatenschutzgesetz

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch

Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch Unified Communications Security Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch 2 Geschäftseinheiten CASSARiUS Fortune Business und Informatik im Einklang. CASSARiUS

Mehr

Sicherheitsprofil SaaS-CRM

Sicherheitsprofil SaaS-CRM Sicherheitsprofil SaaS-CRM Dr. Clemens Doubrava Referat B22 Informationssicherheit und Digitalisierung Jahreskongress Trusted Cloud 2014 Strategische Aspekte des Cloud Computing CC-BY 2.0, Eugene Regis

Mehr

Einführung und Umsetzung eines IT-Sicherheitsmanagements

Einführung und Umsetzung eines IT-Sicherheitsmanagements Einführung und Umsetzung eines IT-Sicherheitsmanagements Datum: 22.09.15 Autor: Olaf Korbanek IT Leiter KTR Kupplungstechnik GmbH AGENDA Vorstellung KTR Kupplungstechnik IT-Sicherheit ein weites Feld IT-Sicherheit

Mehr

Hackerangriffe und Cyber Security im Jahr 2015

Hackerangriffe und Cyber Security im Jahr 2015 Hackerangriffe und Cyber Security im Jahr 2015 Prof. Dr. Sebastian Schinzel schinzel@fh-muenster.de Twitter: @seecurity (c) Prof. Sebastian Schinzel 1 Angriffe Angriff auf Sony Films Nov. 2014 Alle IT-Systeme

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Vortrag Sicherheitsanalyse der Übertragung von Energiedaten über offene Netze

Vortrag Sicherheitsanalyse der Übertragung von Energiedaten über offene Netze Vortrag Sicherheitsanalyse der Übertragung von Energiedaten über offene Netze anlässlich des 1. SELMA-Workshops Übertragung von Energiemessdaten über offene Kommunikationssysteme am 5./6. Juni 2002 bei

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

D&E Entwicklerforum Embedded System Entwicklung Workshop für angewandte und eingebettete IT-Sicherheit

D&E Entwicklerforum Embedded System Entwicklung Workshop für angewandte und eingebettete IT-Sicherheit D&E Entwicklerforum Embedded System Entwicklung Workshop für angewandte und eingebettete IT-Sicherheit Sicheres Flashen eines konfigurierbaren Batterie Management Systems für Elektrofahrzeuge Joachim Tauscher

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Systemüberwachung / Monitoring

Systemüberwachung / Monitoring REGIONALES RECHENZENTRUM ERLANGEN [RRZE] Systemüberwachung / Monitoring Systemausbildung Grundlagen und Aspekte von Betriebssystemen und System-nahen Diensten Uwe Scheuerer, RRZE, 24.06.2015 Agenda Wozu

Mehr