Welche Rolle spielen Datenbanken bei der Datensicherheit?

Größe: px
Ab Seite anzeigen:

Download "Welche Rolle spielen Datenbanken bei der Datensicherheit?"

Transkript

1 Torsten Schlautmann, Opitz Consulting GmbH Welche Rolle spielen Datenbanken bei der Datensicherheit? Unternehmensdaten werden in der heutigen Informationstechnologie in der Regel in Datenbanksystemen gespeichert. Doch reicht es bei weitem nicht aus, nur die Datenbank möglichst stark abzusichern, um die Datensicherheit zu gewährleisten. Nur wenn alle Komponenten einer Infrastruktur abgesichert sind, kann Datensicherheit gewährleistet werden. Keywords Data Security, Database, Security Hole, Auditing Stichworte Datensicherheit, Datenbank, Sicherheitslücken, Auditing 1. Die Rolle von Datenbanken in der heutigen IT Datenbanken sind heutzutage das zentrale Element fast jeder Unternehmenssoftware. Sie haben hierbei die Aufgabe, Daten des Unternehmens dauerhaft zu speichern und wieder abrufbar zu machen. Egal, ob Software zur Steuerung des Vertriebsaußendienstes, um die Finanzbuchhaltung oder ein Online Handelssystem (z.b. Internetshop) betroffen sind: Die Anwender, das Unternehmen und die Kunden sind in der Regel darauf angewiesen, dass die eingegebenen oder erzeugten Daten dauerhaft zur Verfügung stehen. Zusätzlich existieren zahlreiche gesetzliche Auflagen, die Unternehmen dazu verpflichten, bestimmte Daten zu sichern und gegen unbefugte Einsicht und gegen Manipulationen zu schützen (z.b. BDSG, KontraG, CGK, TransPuG, Basell II, Sarbanes Oaxley Act, PCI). In den letzten Jahren ist die IT-Sicherheit verstärkt in den Fokus der IT-Verantwortlichen gerückt. Dabei kommt der Sicherheit von Datenbanken jedoch nur eine sehr untergeordnete Rolle zu. Im Zentrum stehen vielmehr die Sicherung der Netzwerkinfrastruktur und der Server sowie die Absicherung von PCs und Servern gegen Viren. 2. Erhöhtes Gefahrenpotenzial Heutige IT-Architekturen basieren zu einem hohen Anteil auf umfangreicher Vernetzung. Innerhalb des Unternehmens findet die Integration und Kommunikation verschiedener IT-Systeme über das Netzwerk statt, bestimmte Applikationen werden Mitarbeitern, Kunden, Lieferanten und Partnern über das Internet zur Verfügung gestellt. Neben den vielen Vorteilen birgt die Vernetzung jedoch auch viele Gefahren: Über die selben Wege, auf denen gewollte Kommunikation stattfindet, kann auch ungewollt Kommunikation stattfinden. Zu diesem Zweck sichern sich Unternehmen umfangreich durch Firewalls, Virtuelle LANs (VLANs) etc. ab. Eine weitere Gefährdung stellt die Verbreitung von Schadsoftware dar. In diesem Kontext ist jedoch nicht die Rede von Würmern oder Viren, sondern von der Verfügbarkeit sogenannter Exploits. Darunter versteht man Probe-Implementierungen zur Ausnutzung von Sicherheitslücken. Dauerte es vor zwei Jahren noch durchschnittlich mehr als sechs Tage, bis zu einer bekannten Sicherheitslücke ein fertiger Exploit verfügbar war, so sind es heute im Mittel nur noch drei [1]. Die weltweite Vernetzung führt nicht nur zu einem schnelleren Zugang zu den Informationen, die für die Erstellung eines Exploits notwendig sind, sondern auch zu einer rasanten Verbreitung der entwickelten Exploits. 3. Arten von Gefährdungen Die folgende Grafik zeigt jene Komponenten, die in vielen heutigen Architekturen an der Ausführung von Applikationen beteiligt sind, auch wenn diese äußerlich einfacher erscheinen. Oft stellt sich das Bild in der Realität noch deutlich komplexer dar. So befinden sich auf Unternehmensebene in der Regel zwischen Applikations- und Datenbank-Server zusätzliche Firewalls. Zur Verdeutlichung der Sicherheits-Gefährdung über die verschiedenen Komponenten reicht diese Darstellung jedoch aus. Information Management & Consulting 23 (2008) 1 69

2 3.2 Endgeräte Virenscanner gehören heutzutage zur Standard-Software jedes PCs. Trotzdem führen immer neue Viren, Trojaner und Würmer dazu, dass es zu Störungen in der IT kommt. Der Ansatz bei diesen Komponenten ist es, sicherzustellen, dass nur gewollte Kommunikation stattfindet. So sollen z.b. keine Viren in das Unternehmensnetzwerk gelangen, aber auch keine externen Medien (wie z.b. USB-Sticks) ungewollt verwendet werden können. Diese können schließlich dazu verwendet werden, unerwünschte Inhalte in das Unternehmen einzuschleusen oder unzulässigerweise Informationen aus dem Unternehmen heraus zu bringen. Neue Tools ermöglichen es verstärkt auch nicht speziell vorgebildeten Mitarbeitern, Sicherheitslücken bei Datenbanken auszunutzen. Die Absicherung der Endgeräte gegen das bewusste Einbringen in das Unternehmensnetz gewinnt so zusätzlich an Bedeutung. (z.b. Goss GUI Oracle Scanner [3], Oracle Assessment Kit (OAK) von David Litchfield [4], Inguma von Joxean Koret [5]) 3.3 Firewall / Router Abbildung 1: Übersicht über die Schichten 3.1 Nutzer Eine noch immer häufig unterschätzte Komponente beim Thema IT-Sicherheit ist der Nutzer auch wenn nach einer Studie von Computer Associates von 2006 bereits 41 Prozent der befragten Unternehmen die Gefahr durch einen Angreifer von innen höher einschätzten als die eines externen Hackerangriffes [2]. Die operative Hürde für Datendiebstahl, -manipulation oder -vernichtung hat mit der Einführung von IT-Systemen deutlich abgenommen sofern nicht entsprechende Sicherheitsmaßnahmen eingeführt wurden. Zur Verdeutlichung: Es kostet sicher mehr Überwindung, einen Stapel Akten zu fotokopieren und aus dem Büro zu entwenden, als ein paar Dateien auf einen USB-Stick zu kopieren und mitzunehmen. Zusätzlich entstehen neue menschliche Sicherheitslücken durch verstärkte Ansätze im Bereich Single-Sign-On. Es ist sicher sehr praktisch, sich morgens nur einmal am Rechner anzumelden und danach sämtliche Applikationen ohne weitere Eingaben von Benutzernamen und Passwort aufrufen zu können. Aus Sicherheitsperspektive ist diese Bequemlichkeit aber äußerst problematisch. Wenn der Nutzer seinen PC bei Verlassen des Gerätes nicht sperrt, kann schließlich jeder ohne weitere Anmeldungen Applikationen des Nutzers aufrufen und missbrauchen. Mindestens gleichermaßen problematisch ist es natürlich, wenn die Nutzer ohne Single-Sign-On Passwörter sorglos notieren und damit anderen zugänglich machen. Nachdem Firewalls vor einigen Jahren noch fast ausschließlich zur Absicherung des firmeneigenen Netzes gegen ungewollte Zugriffe aus dem Internet eingesetzt wurden, dienen diese heutzutage mehr und mehr auch der Absicherung der verschiedenen Netzsegmente intern. Mit Hilfe von Firewalls lassen sich unerlaubte Zugriffe zwischen verschiedenen Netzwerken verhindern. Auch wenn die Hersteller der Firewalls zunehmend mehr Intelligenz in ihre Software implementieren (weg von den rein mechanischen, netzwerkbasierten Regelwerken, hin zu mehr inhaltsbasierten Algorithmen), so können diese verständlicherweise nicht mit Kenntnis über die semantisch und syntaktisch korrekten Zugriffe auf Applikationsebene aufwarten. 3.4 Web- und Applikationsserver Über den Webserver findet in einer modernen Mehrschicht-Architektur der Zugriff auf die Applikation statt. Aus verschiedenen Gründen kann es vorkommen, dass Web- und Applikationsserver auf getrennter Hardware ausgeführt werden. So könnte es etwa aus Sicherheitsgründen unerwünscht sein, dass der eigentliche Applikations-Server für die Nutzer erreichbar ist. In der Regel wird jedoch eine verteilte Installationsform gewählt, um einen bessere Skalierbarkeit des Gesamtsystems zu erreichen. Bei Web- und Applikationsservern ist darauf zu achten, alle Sicherheits-Patches zu installieren und alle Sicherheitsfunktionen zu aktivieren. Die Verwundbarkeit der eigentlichen Applikationen und die möglichen Maßnahmen hängen maßgeblich von der Art der Software ab: Wurde diese individuell (selbst oder durch einen Dienstleister) entwickelt? Oder handelt es sich um eine Standard-Software? Bei einer Standard-Software ist es dem Unternehmen nicht möglich, auf Applikationsebene für einen Schutz der Daten gegen unauthorisierte Nutzung zu sorgen das ist Sache der Software-An- 70 Information Management & Consulting 23 (2008) 1

3 3.2 Endgeräte Virenscanner gehören heutzutage zur Standard-Software jedes PCs. Trotzdem führen immer neue Viren, Trojaner und Würmer dazu, dass es zu Störungen in der IT kommt. Der Ansatz bei diesen Komponenten ist es, sicherzustellen, dass nur gewollte Kommunikation stattfindet. So sollen z.b. keine Viren in das Unternehmensnetzwerk gelangen, aber auch keine externen Medien (wie z.b. USB-Sticks) ungewollt verwendet werden können. Diese können schließlich dazu verwendet werden, unerwünschte Inhalte in das Unternehmen einzuschleusen oder unzulässigerweise Informationen aus dem Unternehmen heraus zu bringen. Neue Tools ermöglichen es verstärkt auch nicht speziell vorgebildeten Mitarbeitern, Sicherheitslücken bei Datenbanken auszunutzen. Die Absicherung der Endgeräte gegen das bewusste Einbringen in das Unternehmensnetz gewinnt so zusätzlich an Bedeutung. (z.b. Goss GUI Oracle Scanner [3], Oracle Assessment Kit (OAK) von David Litchfield [4], Inguma von Joxean Koret [5]) 3.3 Firewall / Router Abbildung 1: Übersicht über die Schichten 3.1 Nutzer Eine noch immer häufig unterschätzte Komponente beim Thema IT-Sicherheit ist der Nutzer auch wenn nach einer Studie von Computer Associates von 2006 bereits 41 Prozent der befragten Unternehmen die Gefahr durch einen Angreifer von innen höher einschätzten als die eines externen Hackerangriffes [2]. Die operative Hürde für Datendiebstahl, -manipulation oder -vernichtung hat mit der Einführung von IT-Systemen deutlich abgenommen sofern nicht entsprechende Sicherheitsmaßnahmen eingeführt wurden. Zur Verdeutlichung: Es kostet sicher mehr Überwindung, einen Stapel Akten zu fotokopieren und aus dem Büro zu entwenden, als ein paar Dateien auf einen USB-Stick zu kopieren und mitzunehmen. Zusätzlich entstehen neue menschliche Sicherheitslücken durch verstärkte Ansätze im Bereich Single-Sign-On. Es ist sicher sehr praktisch, sich morgens nur einmal am Rechner anzumelden und danach sämtliche Applikationen ohne weitere Eingaben von Benutzernamen und Passwort aufrufen zu können. Aus Sicherheitsperspektive ist diese Bequemlichkeit aber äußerst problematisch. Wenn der Nutzer seinen PC bei Verlassen des Gerätes nicht sperrt, kann schließlich jeder ohne weitere Anmeldungen Applikationen des Nutzers aufrufen und missbrauchen. Mindestens gleichermaßen problematisch ist es natürlich, wenn die Nutzer ohne Single-Sign-On Passwörter sorglos notieren und damit anderen zugänglich machen. Nachdem Firewalls vor einigen Jahren noch fast ausschließlich zur Absicherung des firmeneigenen Netzes gegen ungewollte Zugriffe aus dem Internet eingesetzt wurden, dienen diese heutzutage mehr und mehr auch der Absicherung der verschiedenen Netzsegmente intern. Mit Hilfe von Firewalls lassen sich unerlaubte Zugriffe zwischen verschiedenen Netzwerken verhindern. Auch wenn die Hersteller der Firewalls zunehmend mehr Intelligenz in ihre Software implementieren (weg von den rein mechanischen, netzwerkbasierten Regelwerken, hin zu mehr inhaltsbasierten Algorithmen), so können diese verständlicherweise nicht mit Kenntnis über die semantisch und syntaktisch korrekten Zugriffe auf Applikationsebene aufwarten. 3.4 Web- und Applikationsserver Über den Webserver findet in einer modernen Mehrschicht-Architektur der Zugriff auf die Applikation statt. Aus verschiedenen Gründen kann es vorkommen, dass Web- und Applikationsserver auf getrennter Hardware ausgeführt werden. So könnte es etwa aus Sicherheitsgründen unerwünscht sein, dass der eigentliche Applikations-Server für die Nutzer erreichbar ist. In der Regel wird jedoch eine verteilte Installationsform gewählt, um einen bessere Skalierbarkeit des Gesamtsystems zu erreichen. Bei Web- und Applikationsservern ist darauf zu achten, alle Sicherheits-Patches zu installieren und alle Sicherheitsfunktionen zu aktivieren. Die Verwundbarkeit der eigentlichen Applikationen und die möglichen Maßnahmen hängen maßgeblich von der Art der Software ab: Wurde diese individuell (selbst oder durch einen Dienstleister) entwickelt? Oder handelt es sich um eine Standard-Software? Bei einer Standard-Software ist es dem Unternehmen nicht möglich, auf Applikationsebene für einen Schutz der Daten gegen unauthorisierte Nutzung zu sorgen das ist Sache der Software-An- 70 Information Management & Consulting 23 (2008) 1

4 IT-Sicherheit bieter, die bei Bekanntwerden von Sicherheitslücken für die entsprechende Überarbeitung des Codes sorgen müssen. In bestimmten Fällen kann das Unternehmen mit Hilfe des Einsatzes von WebShields potenzielle Sicherheitslücken absichern; hierzu ist jedoch eine gute Kenntnis der Applikation erforderlich. Bei individuell entwickelter Software kann proaktiv nur durch sauber definierte Entwicklungsrichtlinien und eine funktionierende Qualitätssicherung dafür Sorge getragen werden, dass keine Sicherheitslücken entstehen. Diese muss auch die sicherheitsrelevanten Prüfungen der Entwicklung umfassen. Grundsätzlich ist hierbei auch darauf zu achten, dass bei der Entwicklung keine absichtlichen Lücken entstehen: Sogenannte Backdoors, die es einem Entwickler erlauben, sich unbefugt Zugriff auf Daten zu verschaffen. Bei der Abwägung bezüglich der Sicherheit von Standard-Software und Individual-Software muss auch berücksichtigt werden, dass Sicherheitslücken bei Standard-Software eher bekannt werden und daher sehr viel wahrscheinlicher Exploits verfügbar werden. Eine Reihe potenzieller Sicherheitslücken ermöglichen es Angreifern, sich auch ohne eigenen Benutzerzugang über eine Web-Applikation Zugang zu den Daten eines Unternehmens zu verschaffen. Dazu zählen Session Hijacking, Phishing, Man-in-the- Middle, SQL-Injection, Wörterbuchangriffe und Cross-Site- Authentication. Hat ein Angreifer einmal Zugang zur Applikation erlangt, so kann er sich über zusätzliche Schritte höherwertige Rechte in der Applikation und der Datenbank verschaffen. Datenbanken an sich werden nur selten zu direkten Zielen von externen Angreifern, da sie in der Regel durch Firewalls entsprechend abgesichert sind. Trotzdem ist fast in jedem Falle der Inhalt einer Datenbank das eigentliche Ziel des Angriffs. Verfügt der Angreifer über keine direkte Verbindung zur Datenbank, bleibt nur der Weg über eine Applikation. Abhilfe gegen solche Angriffe kann in der Mehrzahl der Fälle nur die Überarbeitung der Applikation (siehe voriges Kapitel) leisten. In der Datenbank selbst sind im Zusammenhang mit den beschriebenen Sicherheitsproblemen nur wenige Maßnahmen möglich: - Implementierung einer Rechteverwaltung mit positiver Vergabe von Rechten: Es werden nur solche Rechte vergeben, die für die Applikation notwendig sind; - Trennung von Benutzern / Benutzerrechten / Rollen für das Lesen und das Ändern von Daten; - Verwendung von passwortgeschützten Rollenkonzepten, sofern diese Funktionalität durch die Datenbank zur Verfügung gestellt wird; - Einführung von Audit-Mechanismen sowie von Auswertungsverfahren zum Auditing; - Bei Verwendung von individuellen prozeduralen Elementen in der Datenbank: Einführung von semantischen und syntaktischen Prüfungen von Übergabeparametern; - Einsatz von gezielten Verschlüsselungsmechanismen, um besonders sensible Teile oder die gesamten Daten der Applikation zu sichern. 3.6 Betriebssystem und Storage Auf diesen beiden Ebenen muss grundsätzlich dafür Sorge getragen werden, dass sich kein Nutzer unbefugt direkten Zugriff auf die Dateien der Datenbank verschaffen kann. Denn grundsätzlich gilt: Wer Zugriff auf diese Dateien hat, kann sämtlich Daten einsehen. Anders ist dies natürlich, wenn Daten verschlüsselt abgelegt wurden! Analog zur Rechtevergabe ist innerhalb der Datenbank darauf zu achten, dass wirklich nur solche Rechte vergeben werden, die zwingend erforderlich sind. Grundsätzlich ist es bei allen Servern (also auch bei den Web-/Applikations-Servern) auch von entscheidender Bedeutung, dass nur wirklich benötigte Betriebssystem-Funktionen installiert bzw. aktiviert werden. ( Härtung des Betriebssystems ). Außerdem müssen alle verfügbaren Sicherheits-Patches angewendet werden. 4. Tools zur Absicherung von Datenbanken Wie zuvor beschrieben entstehen Gefahren besonders durch unsichere Software-Entwicklung jener Applikationen, die auf die Datenbankinhalte zugreifen. Das bedeutet im Umkehrschluss, dass Mechanismen auf der Seite der Datenbank hauptsächlich den Zweck erfüllen, die Auswirkung von Fehlern in der Anwendungsentwicklung zu minimieren. Sie können aber auch verhindern, dass Inhalte der Datenbank über solche Fehler unsachgemäß gelesen oder geändert werden. Eine weitere Möglichkeit besteht auf Datenbankebene darin, Zugriffe zu dokumentieren und bei unsachgemäßen Vorgängen zu alarmieren. 4.1 Patching Durch den bereits beschriebenen Umstand, dass zu Sicherheitslücken immer schneller Exploits auftauchen, steigt auch die Gefahr, dass die Lücken tatsächlich für betrügerische Zwecke ausgenutzt werden. Daher sollten in einem Unternehmen Standardverfahren etabliert werden, mit denen neue Sicherheits-Patches schnellstmöglich angewendet werden können. Von Oracle gibt es hierzu z.b. eine Option für die Datenbank-Management- und Administrations-Lösung Grid Control, mit deren Hilfe Patches sehr schnell in die Infrastruktur eingebracht werden können. Ein intensiver Test der Auswirkung von solchen Patches ist nach wie vor obligatorisch, das eigentliche Umsetzen der Patches wird aber deutlich beschleunigt. Information Management & Consulting 23 (2008) 1 71

5 4.2 Prüfung auf Sicherheitslücken Da Tools zur Ausnutzung von potenziellen Sicherheitslücken immer schneller entwickelt werden, ist es ratsam, auch für die eigene Überprüfung der Sicherheit der Infrastruktur entsprechende Tools einzusetzen. Für Datenbanken existieren hier spezielle Lösungen, die Unternehmen sehr schnell einen Überblick über mögliche Sicherheitslücken in den installierten Datenbanken bieten. Red Database Security hat ein Tool mit der Bezeichnung Oracle Repscan entwickelt, das Oracle Datenbanken auf die verschiedensten Sicherheitslücken hin überprüft (z.b. Rootkits, unsichere Passwörter, Anfälligkeit für SQL-Injection etc.). Von anderen Herstellern wie z.b. Next Generation Security Software Ltd. gibt es ähnliche Security Scanner auch für andere Datenbanksysteme. 4.3 Auditing Auf Datenbank-Ebene ist es Aufgabe des Auditing, Zugriffe auf die Datenbank zu protokollieren, diese Protokolle vor Manipulationen zu schützen und auswertbar zu machen. Insbesondere die letzten beiden Punkte werden in der Praxis jedoch gerne vernachlässigt. Ein Auditing, dessen Protokolle von einem Angreifer manipuliert werden können oder dessen Protokolle nie ausgewertet werden, ist ohne jeden Nutzen für die Datensicherheit. Je nach Hersteller bringen die Datenbank-Produkte z.t. schon eigene Funktionen für das Auditing mit oder haben eigene Produkte im Angebot, die eine Audit-Funktion zur Verfügung stellen können. Genannt seien hier z.b. von Oracle das Produkt Audit Vault, DBProtect von Application Security Inc. oder Hedgehog Enterprise von Sentrigo. 4.4 Verschlüsselung von Datenbank-Inhalten Bei der Verschlüsselung von Datenbank-Inhalten wird generell zwischen transparenten und nicht-transparenten Verfahren unterschieden. Transparente Verfahren haben gemeinhin den Vorteil, dass die Applikation, die auf die Daten zugreift, nicht angepasst werden muss. Es werden komplette Teile der Datenbank über Passwörter, Zertifikate oder auch Hardware-Schlüssel gesichert. Um die Daten nutzen zu können, muss in der Regel bei jedem Starten der Datenbank-Software die Entschlüsselung aktiviert werden. Anschließend können alle Programme, die an dem Datenbank- System angemeldet sind, ohne zusätzliche Schritte auf die Datenbank-Inhalte zugreifen. Das System ist somit gegen einen Diebstahl auf Basis der reinen Datenbank-Dateien geschützt. Diese Art der Verschlüsselung verhindert jedoch nicht, dass ein potenzieller Angreifer sich über die Applikation Zugriff auf die Daten verschafft oder der Administrator die Daten über die Anmeldung am Datenbank-System auslesen kann. Auch wenn diese Form der Verschlüsselung grundsätzlich dafür gedacht ist, die Datensicherheit zu erhöhen, birgt sie implizit auch Gefahren. Geht der Schlüssel für die Entschlüsselung der Daten unbeabsichtigt oder aber auch beabsichtigt verloren, so sind die Daten unwiederbringlich verloren. Es sollte daher bei der Wahl der Schlüssel berücksichtigt werden, wie diese im Falle eines Verlusts wiederhergestellt werden können. Bei der nicht-transparenten Methodik werden in der Regel nur kleinere Bestandteile der Datenbank verschlüsselt (z.b. einzelne Tabellen). Diese werden dann zur Laufzeit über die Angabe der Entschlüsselungsmethode wieder entschlüsselt, d.h. der Code in der Applikation muss dafür sorgen, dass die entsprechenden Funktionen oder Prozeduren aufgerufen werden. Der Vorteil dieser Art der Verschlüsselung besteht darin, dass die Daten zu keinem Zeitpunkt ohne explizite Angabe des Entschlüsselungsmechanismus ausgelesen werden können. Zur Ver- und Entschlüsselung von Datenbank-Inhalten existieren eine Vielzahl von Möglichkeiten und fertigen Lösungen. 4.5 Schutz vor Administratoren Eine der größten Herausforderungen für den IT-Betrieb besteht darin, die Systeme vor ihren eigenen Administratoren zu schützen. Grundsätzlich neigen Administratoren selbstverständlich nicht stärker zu einem Fehlverhalten als andere Personengruppen. Aufgrund Ihrer Rolle im Unternehmen verfügen sie aber in der Regel über sehr umfangreiche Rechte und sind damit viel eher in der Lage, Daten missbräuchlich zu verwenden. Hinzu kommt, dass Fehler bei der Administration unbeabsichtigt starke Auswirkungen auf die Datensicherheit haben können (z.b. versehentliches Löschen einer kompletten Datenbank). Auf Datenbank-Ebene stehen - abhängig vom jeweiligen Hersteller - umfangreiche Rechtekonzepte zur Verfügung, um auch den Administratoren dediziert nur solche Rechte zu geben, die sie für die tägliche Arbeit benötigen. Unabhängig vom Hersteller der Datenbank haben allerdings alle Systeme die Eigenschaft gemein, dass der Datenbank-Administrator (und damit abhängig vom Betriebssystem auch der Betriebssystem-Administrator des jeweiligen Servers) Rechte auf alle Objekte in der Datenbank hat. Formal richtig wird in verschiedenen Regelwerken gefordert, dass die technische und die fachliche Administration von Systemen entkoppelt werden muss und besonders schwerwiegende Änderungen nur nach dem Vier-Augen-Prinzip vorgenommen werden dürfen. So richtig diese Forderung ist, so gering ist bisher die Unterstützung dieser Forderungen durch die Hersteller. Oracle hat bislang als einziger Datenbank-Hersteller für diese Anforderung ein Produkt mit der Bezeichnung Database Vault entwickelt. Auch wenn das Produkt bislang noch nicht alle Anforderungen umfassend erfüllt, ist dies jedoch ein wichtiger Schritt in die richtige Richtung. Aufgrund des intensiven Wettbewerbs im Datenbank- Markt ist davon auszugehen, dass die Mitbewerber von Oracle in Kürze mit ähnlichen Produkten aufwarten werden. 72 Information Management & Consulting 23 (2008) 1

6 IT-Sicherheit 5. Fazit Zusammenfassend lässt sich feststellen, dass Datensicherheit nicht ausschließlich davon abhängt, wie sicher eine Datenbank ist. In allen beteiligten Komponenten (Nutzer, Netzwerke, Firewalls, Datenbank, Web-/Applikation-Server und Storage) können Sicherheitslücken auftreten, die nur schwerlich durch Sicherheitsmaßnahmen in anderen Komponenten aufgefangen werden können. Für Infrastrukturen, mit denen schützenswerte Daten verarbeitet werden, sollten die folgenden Vorgaben berücksichtigt werden: - zwischen den verschiedenen Komponenten darf ausschließlich verschlüsselte Kommunikation stattfinden; - Server und Endgeräte (vor allem PCs) müssen gegen unautorisierte Installation und Manipulation gesichert sein; - es ist eine semantische und syntaktische Prüfung bei allen Zugriffen von der Applikation auf die Datenbank zu etablieren; - es ist eine semantische und syntaktische Prüfung bei allen Zugriffen von Programmpaketen innerhalb der Datenbank zu etablieren; - nur solche Rechte dürfen vergeben werden, die zwingend notwendig sind am besten anhand von Positiv-Listen; - besonders schützenswerte Daten müssen in der Datenbank über Verschlüsselung sicher abgelegt werden; - für Zugriffe ist ein Auditing vorzusehen (mit Schutz der Protokolle und Auswertbarkeit); - einzelne Komponenten sind über Firewalls abzusichern, dabei soll nur von jenen Netzteilen ein Zugriff möglich sein, die diesen auch wirklich benötigen. Literatur [1] BSI: Die Lage der IT-Sicherheit in Deutschland 2007 [2] CA, IT-Sicherheit 2006/2007 [3] [4] David Litchfield, [5] Joxean Koret, Autor Torsten Schlautmann Opitz Consulting GmbH Kirchstraße Gummersbach Tel: 02261/ Fax: 02261/ Internet: The role of databases regarding data security In today s information technology corporate information is normally saved in databases. However, it does not suffice to only secure the database as such to guarantee data security. It is rather imperative to protect all components of an infrastructure to assure a maximum of data security. Information Management & Consulting 23 (2008) 1 73

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15 Vorwort.................................................. 13 Einleitung................................................ 15 1 Aufwand versus Sicherheit was ist angemessen?.............. 17 1.1 Warum ist

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH 6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver Mit Hilfe des Programmes pzmadmin v1.6.x Inhaltsverzeichnis Inhaltsverzeichnis...2 Voraussetzungen...3 Schritt 1: Verbindungsdaten

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Datensicherung. Beschreibung der Datensicherung

Datensicherung. Beschreibung der Datensicherung Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

IT-SECURITY. Detect. Act. Protect.

IT-SECURITY. Detect. Act. Protect. Oktober 2015 IT-SECURITY Detect. Act. Protect. Security-Plattform für SAP 360 0 Sicherheit EDR-Technologie Security, die mitdenkt IT Blackout Deep Security Sicherung privilegierter Benutzerkonten Assessment

Mehr

Daten schützen und Daten sichern - wie geht das? (Teil 1) ***

Daten schützen und Daten sichern - wie geht das? (Teil 1) *** Daten schützen und Daten sichern - wie geht das? (Teil 1) *** Jürgen Thau Daten schützen und Daten sichern - wie geht das? (Teil 1) Jürgen Thau, 15.10.2006, Seite 1 Themen Welche Gefahren drohen meinen

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank

Mehr

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger.

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger. Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik www.bsi-fuer-buerger.de MOBILKOMMUNIKATION VORWORT Mobilkommunikation Basisschutz leicht

Mehr

Corporate Security Portal

Corporate Security Portal Corporate Security Portal > IT Sicherheit für Unternehmen Marktler Straße 50 84489 Burghausen Germany Fon +49 8677 9747-0 Fax +49 8677 9747-199 www.coc-ag.de kontakt@coc-ag.de Optimierte Unternehmenssicherheit

Mehr

Malte Hesse Hesse@internet-sicherheit.de

Malte Hesse Hesse@internet-sicherheit.de Sichere Integration mobiler Nutzer in bestehende Unternehmensnetzwerke DACH Mobility 2006 Malte Hesse Hesse@internet-sicherheit.de Institut für Internet-Sicherheit https://www.internet-sicherheit.de Fachhochschule

Mehr

Info-Veranstaltung Sicherheit im Netz

Info-Veranstaltung Sicherheit im Netz Info-Veranstaltung Sicherheit im Netz Zusatz für gewerbliche Anwender Senioren Computer Club Bad Endbach Förderverein Jeegels Hoob Gewerbeverein Bad Endbach Christian Schülke Bad Endbach, 26.02.2008 Agenda

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

BitDefender Client Security Kurzanleitung

BitDefender Client Security Kurzanleitung BitDefender Client Security Kurzanleitung...1 Appendix A Kurzanleitung mit Screenshots...2 BitDefender Client Security Kurzanleitung 1. Wählen Sie entweder 32 oder 64 bit Management Server aus dem BitDefender

Mehr

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de Seite: 1 mit Tufin SecureTrack NUBIT 2006 Kiel, 17. Februar 2006 Martin Seeger NetUSE AG ms@netuse.de Seite: 2 mit Tufin SecureTrack Agenda Herausforderungen Aufbau und Funktionsweise Versionsstände Vergleiche

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Benutzerdokumentation Hosted Backup Services Client

Benutzerdokumentation Hosted Backup Services Client Benutzerdokumentation Hosted Backup Services Client Geschäftshaus Pilatushof Grabenhofstrasse 4 6010 Kriens Version 1.1 28.04.2014 Inhaltsverzeichnis 1 Einleitung 4 2 Voraussetzungen 4 3 Installation 5

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

SWANcloud. Security Aspekte. SSC-Services GmbH Herrenberger Straße 56 71034 Böblingen Deutschland

SWANcloud. Security Aspekte. SSC-Services GmbH Herrenberger Straße 56 71034 Böblingen Deutschland SWANcloud Security Aspekte SSC-Services GmbH Herrenberger Straße 56 71034 Böblingen Deutschland SSC-Services GmbH 2014 Alle Rechte vorbehalten. Nachdruck, Vervielfältigung und Veröffentlichung nicht gestattet.

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

2. Installation unter Windows 8.1 mit Internetexplorer 11.0 1. Allgemeines Der Zugang zum Landesnetz stellt folgende Anforderungen an die Software: Betriebssystem: Windows 7 32- / 64-bit Windows 8.1 64-bit Windows Server 2K8 R2 Webbrowser: Microsoft Internet Explorer

Mehr

Online-Banking. 45 Tipps für das sichere Online-Banking

Online-Banking. 45 Tipps für das sichere Online-Banking Online-Banking 45 Tipps für das sichere Online-Banking Notwendige Sicherheitsvorkehrungen am PC Versuchen Sie, möglichst wenige Personen an 1 dem PC arbeiten zu lassen, an dem Sie auch das Online-Banking

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen Information als Erfolgsfaktor Ihres Unternehmens Der Erfolg eines Unternehmens hängt von der Schnelligkeit ab, mit der es seine Kunden erreicht. Eine flexible, zukunftsorientierte und effiziente Infrastruktur

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein Einleitung Memeo Instant Backup ist eine einfache Backup-Lösung für eine komplexe digitale Welt. Durch automatisch und fortlaufende Sicherung Ihrer wertvollen Dateien auf Ihrem Laufwerk C:, schützt Memeo

Mehr

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29)

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der

Mehr

Technische Produktinformation

Technische Produktinformation Technische Produktinformation bi-cube ID-Server für Online-Kunden T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 BI-CUBE - TOKEN ALS KOSTENGÜNSTIGE, SICHERE IDENTIFIKATION...3

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

Verwendung des IDS Backup Systems unter Windows 2000

Verwendung des IDS Backup Systems unter Windows 2000 Verwendung des IDS Backup Systems unter Windows 2000 1. Download der Software Netbackup2000 Unter der Adresse http://www.ids-mannheim.de/zdv/lokal/dienste/backup finden Sie die Software Netbackup2000.

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

... die Zeitschrift der DOAG-Mitglieder. News. Deutsche ORACLE-Anwendergruppe. Grid Computing

... die Zeitschrift der DOAG-Mitglieder. News. Deutsche ORACLE-Anwendergruppe. Grid Computing Deutsche ORACLE-Anwendergruppe News... die Zeitschrift der DOAG-Mitglieder Grid Computing ISSN 0936-0360 www.doag.org Q2/2005 Architektur einer mobilen Swing-Anwendung Autoren: Frank Kohmann, Stefan Götzl,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Jugendschutz und Sicherheit am PC und im World Wide Web

Jugendschutz und Sicherheit am PC und im World Wide Web Jugendschutz und Sicherheit am PC und im World Wide Web In der Schule, im Büro oder in der Freizeit, längst sind das Internet und der PC für viele von uns ein fester Bestandteil unseres täglichen Lebens.

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Online-Banking Zahlungsverkehr effizient und sicher

Online-Banking Zahlungsverkehr effizient und sicher Online-Banking Zahlungsverkehr effizient und sicher Referent: Simon Lücke Leiter IT-Systeme, Electronic Banking, Zahlungsverkehr Volksbank Marl-Recklinghausen eg Volksbank Marl-Recklinghausen eg Agenda

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Passwort-Sicherheit. Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die

Passwort-Sicherheit. Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die Passwort-Sicherheit Passwort-Sicherheit Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die falschen Hände H gelangen könnten. k Um das zu verhindern,

Mehr

Der optimale Schutz für dynamische Unternehmens-Netzwerke

Der optimale Schutz für dynamische Unternehmens-Netzwerke Der optimale Schutz für dynamische Unternehmens-Netzwerke Kaspersky Open Space Security steht für den zuverlässigen Schutz von Firmen- Netzwerken, die immer mehr zu offenen Systemen mit ständig wechselnden

Mehr

Vorsicht beim Surfen über Hotspots

Vorsicht beim Surfen über Hotspots WLAN im Krankenhaus? Vorsicht beim Surfen über Hotspots - Unbefugte können leicht auf Rechner zugreifen - Sicherheitstipps für Nutzer öffentlicher WLAN-Netze Berlin (9. Juli 2013) - Das mobile Surfen im

Mehr

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Whitepaper bi-cube SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE SITUATION...3 2 ZIELSTELLUNG...4 3 VORAUSSETZUNG...5 4 ARCHITEKTUR DER LÖSUNG...6 4.1 Biometrische

Mehr

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant Die Kunst des Krieges Parallelen zu Cybercrime Michael Simon, Security Consultant Die größte Verwundbarkeit ist die Unwissenheit. Quelle: Sun Tzu, Die Kunst des Krieges 2 Agenda Kenne Dich selbst Schwachstelle,

Mehr

Verwendung des Terminalservers der MUG

Verwendung des Terminalservers der MUG Verwendung des Terminalservers der MUG Inhalt Allgemeines... 1 Installation des ICA-Client... 1 An- und Abmeldung... 4 Datentransfer vom/zum Terminalserver... 5 Allgemeines Die Medizinische Universität

Mehr

Installationsanleitung bizsoft Version 8.2.0

Installationsanleitung bizsoft Version 8.2.0 bizsoft Büro Software Büro Österreich, Wien Büro Deutschland, Köln Telefon: 01 / 955 7265 Telefon: 0221 / 677 84 959 e-mail: office@bizsoft.at e-mail: office@bizsoft.de internet: www.bizsoft.at internet:

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg IT- Wir machen das! Leistungskatalog M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg Tel.: 02972 9725-0 Fax: 02972 9725-92 Email: info@m3b.de www.m3b.de www.systemhaus-sauerland.de Inhaltsverzeichnis

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Benutzerzertifikate für Java Webstart

Benutzerzertifikate für Java Webstart Benutzerzertifikate für Java Webstart Benutzerdokumentation Wien 5. Dezember 2011 Florian Bruckner, Florian Heinisch 3kraft IT GmbH & Co KG Wasagasse 26/2 1090 Wien Österreich Tel: +43 1 920 45 49 Fax

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

IBM SPSS Data Access Pack Installationsanweisung für Windows

IBM SPSS Data Access Pack Installationsanweisung für Windows IBM SPSS Data Access Pack Installationsanweisung für Windows Inhaltsverzeichnis Kapitel 1. Übersicht.......... 1 Einführung............... 1 Bereitstellen einer Datenzugriffstechnologie.... 1 ODBC-Datenquellen...........

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk So gelingt die sichere Kommunikation mit jedem Empfänger Andreas Richter EVP Marketing & Product Management GROUP Business Software AG E-Mail-Verschlüsselung ist kein Hexenwerk Datenschutz im Fokus der

Mehr

IT-Sicherheit: Sicherheitsmechanismen für ERP-Systeme

IT-Sicherheit: Sicherheitsmechanismen für ERP-Systeme Marlene Knigge IT-Sicherheit: Sicherheitsmechanismen für ERP-Systeme Fallstudie: Konzeption einer Zugriffskontrolle für ein ERP-System VDM Verlag Dr. Müller Inhaltsverzeichnis Inhaltsverzeichnis I Abkürzungsverzeichnis

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Installation und Konfiguration des KV-Connect-Clients

Installation und Konfiguration des KV-Connect-Clients Installation und Konfiguration des KV-Connect-Clients 1. Voraussetzungen 1.1 KV-SafeNet-Anschluss Über KV-SafeNet wird ein geschützter, vom Internet getrennter, Hardware-basierter Tunnel aufgebaut (Virtuelles

Mehr

Reale Angriffsszenarien Clientsysteme, Phishing & Co.

Reale Angriffsszenarien Clientsysteme, Phishing & Co. IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Clientsysteme, Phishing & Co. hans-joachim.knobloch@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Viren

Mehr

OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen. Das Projekt Das Produkt

OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen. Das Projekt Das Produkt OpenSecurity @ OPEN COMMONS_KONGRESS 2014 OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen Das Projekt Das Produkt Nikolaus Dürk, MAS X-Net Services

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

p S R S die mobile Technikerlösung Service-Technikersteuerung - papierlos und effektiv Die ALL-IN-ONE Lösung für Ihr Unternehmen! SUCCESS! 8.

p S R S die mobile Technikerlösung Service-Technikersteuerung - papierlos und effektiv Die ALL-IN-ONE Lösung für Ihr Unternehmen! SUCCESS! 8. p S R S die mobile Technikerlösung Die ALL-IN-ONE Lösung für Ihr Unternehmen! Service-Technikersteuerung - papierlos und effektiv SUCCESS! 8.0 ERP I N H A LT S V E R Z E I C H N I S psrs die Lösung für

Mehr

Zusammenarbeit mit Partnern

Zusammenarbeit mit Partnern Zusammenarbeit mit Partnern BMW Group Anforderungen an ein BMW Satellitenbüro Folie 1 (Besetzung im Satellitenbüro durch BMW und externe Mitarbeiter) Grundsätze Die Geheimhaltung ist zwischen den Partnern

Mehr

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Prüfbericht EgoSecure ENDPOINT Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Das Unternehmen EgoSecure verspricht mit seinem Produkt, EgoSecure Endpoint, die Implementierung von

Mehr

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit mobilen Geräten Mobilkommunikation Vorwort Mobilkommunikation Basisschutz leicht

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Sichere PCs und Laptops

Sichere PCs und Laptops Sichere PCs und Laptops Sicherheitstools mit der Bürgerkarte A-SIT Zentrum für Sichere Informationstechnologie Dipl.-Ing. Martin Centner SFG, 9. Februar 2006 A-SIT Zentrum für Sichere Informationstechnologie

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Hosting Control Panel - Anmeldung und Funktionen

Hosting Control Panel - Anmeldung und Funktionen Hosting Control Panel - Anmeldung und Funktionen Unser technischer Support steht Ihnen von Montag bis Freitag von 09:00-12:00 Uhr und von 14:00-17:00 Uhr zur Seite. Sie können uns Ihre Fragen selbstverständlich

Mehr

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen LDAP-Server Jederzeit und überall auf Adressen von CAS genesisworld zugreifen Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten

Mehr

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung!

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung! Installation TaxiLogbuch ist eine sogenannte Client-Server-Anwendung. Das Installationsprogramm fragt alle wichtigen Dinge ab und installiert entsprechend Client- und Server-Komponenten. Bei Client-Server-Anwendungen

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Verschlüsselung von USB Sticks mit TrueCrypt

Verschlüsselung von USB Sticks mit TrueCrypt Verschlüsselung von USB Sticks mit TrueCrypt Martin Bürk m.buerk@realschule-ditzingen.de Hintergrund und Motivation Verwaltungsvorschrift zum Datenschutz an öffentlichen Schulen vom 25.11.2009 Erklärung:

Mehr

Dokumentation. juris Autologon-Tool. Version 3.1

Dokumentation. juris Autologon-Tool. Version 3.1 Dokumentation juris Autologon-Tool Version 3.1 Inhaltsverzeichnis: 1. Allgemeines... 3 2. Installation Einzelplatz... 3 3. Installation Netzwerk... 3 4. Konfiguration Netzwerk... 3 4.1 Die Autologon.ini...

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Datenschutzrechtliche Aspekte bei Campus Management Systemen

Datenschutzrechtliche Aspekte bei Campus Management Systemen Datenschutzrechtliche Aspekte bei Campus Management Systemen 3. Internationales Kanzlertreffen Luzern, 10.05.2011 Thorsten Ebert IT Beratung Der Sony-Hack Der Datendiebstahl beim Sony-Playstation-Network

Mehr