Welche Rolle spielen Datenbanken bei der Datensicherheit?

Größe: px
Ab Seite anzeigen:

Download "Welche Rolle spielen Datenbanken bei der Datensicherheit?"

Transkript

1 Torsten Schlautmann, Opitz Consulting GmbH Welche Rolle spielen Datenbanken bei der Datensicherheit? Unternehmensdaten werden in der heutigen Informationstechnologie in der Regel in Datenbanksystemen gespeichert. Doch reicht es bei weitem nicht aus, nur die Datenbank möglichst stark abzusichern, um die Datensicherheit zu gewährleisten. Nur wenn alle Komponenten einer Infrastruktur abgesichert sind, kann Datensicherheit gewährleistet werden. Keywords Data Security, Database, Security Hole, Auditing Stichworte Datensicherheit, Datenbank, Sicherheitslücken, Auditing 1. Die Rolle von Datenbanken in der heutigen IT Datenbanken sind heutzutage das zentrale Element fast jeder Unternehmenssoftware. Sie haben hierbei die Aufgabe, Daten des Unternehmens dauerhaft zu speichern und wieder abrufbar zu machen. Egal, ob Software zur Steuerung des Vertriebsaußendienstes, um die Finanzbuchhaltung oder ein Online Handelssystem (z.b. Internetshop) betroffen sind: Die Anwender, das Unternehmen und die Kunden sind in der Regel darauf angewiesen, dass die eingegebenen oder erzeugten Daten dauerhaft zur Verfügung stehen. Zusätzlich existieren zahlreiche gesetzliche Auflagen, die Unternehmen dazu verpflichten, bestimmte Daten zu sichern und gegen unbefugte Einsicht und gegen Manipulationen zu schützen (z.b. BDSG, KontraG, CGK, TransPuG, Basell II, Sarbanes Oaxley Act, PCI). In den letzten Jahren ist die IT-Sicherheit verstärkt in den Fokus der IT-Verantwortlichen gerückt. Dabei kommt der Sicherheit von Datenbanken jedoch nur eine sehr untergeordnete Rolle zu. Im Zentrum stehen vielmehr die Sicherung der Netzwerkinfrastruktur und der Server sowie die Absicherung von PCs und Servern gegen Viren. 2. Erhöhtes Gefahrenpotenzial Heutige IT-Architekturen basieren zu einem hohen Anteil auf umfangreicher Vernetzung. Innerhalb des Unternehmens findet die Integration und Kommunikation verschiedener IT-Systeme über das Netzwerk statt, bestimmte Applikationen werden Mitarbeitern, Kunden, Lieferanten und Partnern über das Internet zur Verfügung gestellt. Neben den vielen Vorteilen birgt die Vernetzung jedoch auch viele Gefahren: Über die selben Wege, auf denen gewollte Kommunikation stattfindet, kann auch ungewollt Kommunikation stattfinden. Zu diesem Zweck sichern sich Unternehmen umfangreich durch Firewalls, Virtuelle LANs (VLANs) etc. ab. Eine weitere Gefährdung stellt die Verbreitung von Schadsoftware dar. In diesem Kontext ist jedoch nicht die Rede von Würmern oder Viren, sondern von der Verfügbarkeit sogenannter Exploits. Darunter versteht man Probe-Implementierungen zur Ausnutzung von Sicherheitslücken. Dauerte es vor zwei Jahren noch durchschnittlich mehr als sechs Tage, bis zu einer bekannten Sicherheitslücke ein fertiger Exploit verfügbar war, so sind es heute im Mittel nur noch drei [1]. Die weltweite Vernetzung führt nicht nur zu einem schnelleren Zugang zu den Informationen, die für die Erstellung eines Exploits notwendig sind, sondern auch zu einer rasanten Verbreitung der entwickelten Exploits. 3. Arten von Gefährdungen Die folgende Grafik zeigt jene Komponenten, die in vielen heutigen Architekturen an der Ausführung von Applikationen beteiligt sind, auch wenn diese äußerlich einfacher erscheinen. Oft stellt sich das Bild in der Realität noch deutlich komplexer dar. So befinden sich auf Unternehmensebene in der Regel zwischen Applikations- und Datenbank-Server zusätzliche Firewalls. Zur Verdeutlichung der Sicherheits-Gefährdung über die verschiedenen Komponenten reicht diese Darstellung jedoch aus. Information Management & Consulting 23 (2008) 1 69

2 3.2 Endgeräte Virenscanner gehören heutzutage zur Standard-Software jedes PCs. Trotzdem führen immer neue Viren, Trojaner und Würmer dazu, dass es zu Störungen in der IT kommt. Der Ansatz bei diesen Komponenten ist es, sicherzustellen, dass nur gewollte Kommunikation stattfindet. So sollen z.b. keine Viren in das Unternehmensnetzwerk gelangen, aber auch keine externen Medien (wie z.b. USB-Sticks) ungewollt verwendet werden können. Diese können schließlich dazu verwendet werden, unerwünschte Inhalte in das Unternehmen einzuschleusen oder unzulässigerweise Informationen aus dem Unternehmen heraus zu bringen. Neue Tools ermöglichen es verstärkt auch nicht speziell vorgebildeten Mitarbeitern, Sicherheitslücken bei Datenbanken auszunutzen. Die Absicherung der Endgeräte gegen das bewusste Einbringen in das Unternehmensnetz gewinnt so zusätzlich an Bedeutung. (z.b. Goss GUI Oracle Scanner [3], Oracle Assessment Kit (OAK) von David Litchfield [4], Inguma von Joxean Koret [5]) 3.3 Firewall / Router Abbildung 1: Übersicht über die Schichten 3.1 Nutzer Eine noch immer häufig unterschätzte Komponente beim Thema IT-Sicherheit ist der Nutzer auch wenn nach einer Studie von Computer Associates von 2006 bereits 41 Prozent der befragten Unternehmen die Gefahr durch einen Angreifer von innen höher einschätzten als die eines externen Hackerangriffes [2]. Die operative Hürde für Datendiebstahl, -manipulation oder -vernichtung hat mit der Einführung von IT-Systemen deutlich abgenommen sofern nicht entsprechende Sicherheitsmaßnahmen eingeführt wurden. Zur Verdeutlichung: Es kostet sicher mehr Überwindung, einen Stapel Akten zu fotokopieren und aus dem Büro zu entwenden, als ein paar Dateien auf einen USB-Stick zu kopieren und mitzunehmen. Zusätzlich entstehen neue menschliche Sicherheitslücken durch verstärkte Ansätze im Bereich Single-Sign-On. Es ist sicher sehr praktisch, sich morgens nur einmal am Rechner anzumelden und danach sämtliche Applikationen ohne weitere Eingaben von Benutzernamen und Passwort aufrufen zu können. Aus Sicherheitsperspektive ist diese Bequemlichkeit aber äußerst problematisch. Wenn der Nutzer seinen PC bei Verlassen des Gerätes nicht sperrt, kann schließlich jeder ohne weitere Anmeldungen Applikationen des Nutzers aufrufen und missbrauchen. Mindestens gleichermaßen problematisch ist es natürlich, wenn die Nutzer ohne Single-Sign-On Passwörter sorglos notieren und damit anderen zugänglich machen. Nachdem Firewalls vor einigen Jahren noch fast ausschließlich zur Absicherung des firmeneigenen Netzes gegen ungewollte Zugriffe aus dem Internet eingesetzt wurden, dienen diese heutzutage mehr und mehr auch der Absicherung der verschiedenen Netzsegmente intern. Mit Hilfe von Firewalls lassen sich unerlaubte Zugriffe zwischen verschiedenen Netzwerken verhindern. Auch wenn die Hersteller der Firewalls zunehmend mehr Intelligenz in ihre Software implementieren (weg von den rein mechanischen, netzwerkbasierten Regelwerken, hin zu mehr inhaltsbasierten Algorithmen), so können diese verständlicherweise nicht mit Kenntnis über die semantisch und syntaktisch korrekten Zugriffe auf Applikationsebene aufwarten. 3.4 Web- und Applikationsserver Über den Webserver findet in einer modernen Mehrschicht-Architektur der Zugriff auf die Applikation statt. Aus verschiedenen Gründen kann es vorkommen, dass Web- und Applikationsserver auf getrennter Hardware ausgeführt werden. So könnte es etwa aus Sicherheitsgründen unerwünscht sein, dass der eigentliche Applikations-Server für die Nutzer erreichbar ist. In der Regel wird jedoch eine verteilte Installationsform gewählt, um einen bessere Skalierbarkeit des Gesamtsystems zu erreichen. Bei Web- und Applikationsservern ist darauf zu achten, alle Sicherheits-Patches zu installieren und alle Sicherheitsfunktionen zu aktivieren. Die Verwundbarkeit der eigentlichen Applikationen und die möglichen Maßnahmen hängen maßgeblich von der Art der Software ab: Wurde diese individuell (selbst oder durch einen Dienstleister) entwickelt? Oder handelt es sich um eine Standard-Software? Bei einer Standard-Software ist es dem Unternehmen nicht möglich, auf Applikationsebene für einen Schutz der Daten gegen unauthorisierte Nutzung zu sorgen das ist Sache der Software-An- 70 Information Management & Consulting 23 (2008) 1

3 3.2 Endgeräte Virenscanner gehören heutzutage zur Standard-Software jedes PCs. Trotzdem führen immer neue Viren, Trojaner und Würmer dazu, dass es zu Störungen in der IT kommt. Der Ansatz bei diesen Komponenten ist es, sicherzustellen, dass nur gewollte Kommunikation stattfindet. So sollen z.b. keine Viren in das Unternehmensnetzwerk gelangen, aber auch keine externen Medien (wie z.b. USB-Sticks) ungewollt verwendet werden können. Diese können schließlich dazu verwendet werden, unerwünschte Inhalte in das Unternehmen einzuschleusen oder unzulässigerweise Informationen aus dem Unternehmen heraus zu bringen. Neue Tools ermöglichen es verstärkt auch nicht speziell vorgebildeten Mitarbeitern, Sicherheitslücken bei Datenbanken auszunutzen. Die Absicherung der Endgeräte gegen das bewusste Einbringen in das Unternehmensnetz gewinnt so zusätzlich an Bedeutung. (z.b. Goss GUI Oracle Scanner [3], Oracle Assessment Kit (OAK) von David Litchfield [4], Inguma von Joxean Koret [5]) 3.3 Firewall / Router Abbildung 1: Übersicht über die Schichten 3.1 Nutzer Eine noch immer häufig unterschätzte Komponente beim Thema IT-Sicherheit ist der Nutzer auch wenn nach einer Studie von Computer Associates von 2006 bereits 41 Prozent der befragten Unternehmen die Gefahr durch einen Angreifer von innen höher einschätzten als die eines externen Hackerangriffes [2]. Die operative Hürde für Datendiebstahl, -manipulation oder -vernichtung hat mit der Einführung von IT-Systemen deutlich abgenommen sofern nicht entsprechende Sicherheitsmaßnahmen eingeführt wurden. Zur Verdeutlichung: Es kostet sicher mehr Überwindung, einen Stapel Akten zu fotokopieren und aus dem Büro zu entwenden, als ein paar Dateien auf einen USB-Stick zu kopieren und mitzunehmen. Zusätzlich entstehen neue menschliche Sicherheitslücken durch verstärkte Ansätze im Bereich Single-Sign-On. Es ist sicher sehr praktisch, sich morgens nur einmal am Rechner anzumelden und danach sämtliche Applikationen ohne weitere Eingaben von Benutzernamen und Passwort aufrufen zu können. Aus Sicherheitsperspektive ist diese Bequemlichkeit aber äußerst problematisch. Wenn der Nutzer seinen PC bei Verlassen des Gerätes nicht sperrt, kann schließlich jeder ohne weitere Anmeldungen Applikationen des Nutzers aufrufen und missbrauchen. Mindestens gleichermaßen problematisch ist es natürlich, wenn die Nutzer ohne Single-Sign-On Passwörter sorglos notieren und damit anderen zugänglich machen. Nachdem Firewalls vor einigen Jahren noch fast ausschließlich zur Absicherung des firmeneigenen Netzes gegen ungewollte Zugriffe aus dem Internet eingesetzt wurden, dienen diese heutzutage mehr und mehr auch der Absicherung der verschiedenen Netzsegmente intern. Mit Hilfe von Firewalls lassen sich unerlaubte Zugriffe zwischen verschiedenen Netzwerken verhindern. Auch wenn die Hersteller der Firewalls zunehmend mehr Intelligenz in ihre Software implementieren (weg von den rein mechanischen, netzwerkbasierten Regelwerken, hin zu mehr inhaltsbasierten Algorithmen), so können diese verständlicherweise nicht mit Kenntnis über die semantisch und syntaktisch korrekten Zugriffe auf Applikationsebene aufwarten. 3.4 Web- und Applikationsserver Über den Webserver findet in einer modernen Mehrschicht-Architektur der Zugriff auf die Applikation statt. Aus verschiedenen Gründen kann es vorkommen, dass Web- und Applikationsserver auf getrennter Hardware ausgeführt werden. So könnte es etwa aus Sicherheitsgründen unerwünscht sein, dass der eigentliche Applikations-Server für die Nutzer erreichbar ist. In der Regel wird jedoch eine verteilte Installationsform gewählt, um einen bessere Skalierbarkeit des Gesamtsystems zu erreichen. Bei Web- und Applikationsservern ist darauf zu achten, alle Sicherheits-Patches zu installieren und alle Sicherheitsfunktionen zu aktivieren. Die Verwundbarkeit der eigentlichen Applikationen und die möglichen Maßnahmen hängen maßgeblich von der Art der Software ab: Wurde diese individuell (selbst oder durch einen Dienstleister) entwickelt? Oder handelt es sich um eine Standard-Software? Bei einer Standard-Software ist es dem Unternehmen nicht möglich, auf Applikationsebene für einen Schutz der Daten gegen unauthorisierte Nutzung zu sorgen das ist Sache der Software-An- 70 Information Management & Consulting 23 (2008) 1

4 IT-Sicherheit bieter, die bei Bekanntwerden von Sicherheitslücken für die entsprechende Überarbeitung des Codes sorgen müssen. In bestimmten Fällen kann das Unternehmen mit Hilfe des Einsatzes von WebShields potenzielle Sicherheitslücken absichern; hierzu ist jedoch eine gute Kenntnis der Applikation erforderlich. Bei individuell entwickelter Software kann proaktiv nur durch sauber definierte Entwicklungsrichtlinien und eine funktionierende Qualitätssicherung dafür Sorge getragen werden, dass keine Sicherheitslücken entstehen. Diese muss auch die sicherheitsrelevanten Prüfungen der Entwicklung umfassen. Grundsätzlich ist hierbei auch darauf zu achten, dass bei der Entwicklung keine absichtlichen Lücken entstehen: Sogenannte Backdoors, die es einem Entwickler erlauben, sich unbefugt Zugriff auf Daten zu verschaffen. Bei der Abwägung bezüglich der Sicherheit von Standard-Software und Individual-Software muss auch berücksichtigt werden, dass Sicherheitslücken bei Standard-Software eher bekannt werden und daher sehr viel wahrscheinlicher Exploits verfügbar werden. Eine Reihe potenzieller Sicherheitslücken ermöglichen es Angreifern, sich auch ohne eigenen Benutzerzugang über eine Web-Applikation Zugang zu den Daten eines Unternehmens zu verschaffen. Dazu zählen Session Hijacking, Phishing, Man-in-the- Middle, SQL-Injection, Wörterbuchangriffe und Cross-Site- Authentication. Hat ein Angreifer einmal Zugang zur Applikation erlangt, so kann er sich über zusätzliche Schritte höherwertige Rechte in der Applikation und der Datenbank verschaffen. Datenbanken an sich werden nur selten zu direkten Zielen von externen Angreifern, da sie in der Regel durch Firewalls entsprechend abgesichert sind. Trotzdem ist fast in jedem Falle der Inhalt einer Datenbank das eigentliche Ziel des Angriffs. Verfügt der Angreifer über keine direkte Verbindung zur Datenbank, bleibt nur der Weg über eine Applikation. Abhilfe gegen solche Angriffe kann in der Mehrzahl der Fälle nur die Überarbeitung der Applikation (siehe voriges Kapitel) leisten. In der Datenbank selbst sind im Zusammenhang mit den beschriebenen Sicherheitsproblemen nur wenige Maßnahmen möglich: - Implementierung einer Rechteverwaltung mit positiver Vergabe von Rechten: Es werden nur solche Rechte vergeben, die für die Applikation notwendig sind; - Trennung von Benutzern / Benutzerrechten / Rollen für das Lesen und das Ändern von Daten; - Verwendung von passwortgeschützten Rollenkonzepten, sofern diese Funktionalität durch die Datenbank zur Verfügung gestellt wird; - Einführung von Audit-Mechanismen sowie von Auswertungsverfahren zum Auditing; - Bei Verwendung von individuellen prozeduralen Elementen in der Datenbank: Einführung von semantischen und syntaktischen Prüfungen von Übergabeparametern; - Einsatz von gezielten Verschlüsselungsmechanismen, um besonders sensible Teile oder die gesamten Daten der Applikation zu sichern. 3.6 Betriebssystem und Storage Auf diesen beiden Ebenen muss grundsätzlich dafür Sorge getragen werden, dass sich kein Nutzer unbefugt direkten Zugriff auf die Dateien der Datenbank verschaffen kann. Denn grundsätzlich gilt: Wer Zugriff auf diese Dateien hat, kann sämtlich Daten einsehen. Anders ist dies natürlich, wenn Daten verschlüsselt abgelegt wurden! Analog zur Rechtevergabe ist innerhalb der Datenbank darauf zu achten, dass wirklich nur solche Rechte vergeben werden, die zwingend erforderlich sind. Grundsätzlich ist es bei allen Servern (also auch bei den Web-/Applikations-Servern) auch von entscheidender Bedeutung, dass nur wirklich benötigte Betriebssystem-Funktionen installiert bzw. aktiviert werden. ( Härtung des Betriebssystems ). Außerdem müssen alle verfügbaren Sicherheits-Patches angewendet werden. 4. Tools zur Absicherung von Datenbanken Wie zuvor beschrieben entstehen Gefahren besonders durch unsichere Software-Entwicklung jener Applikationen, die auf die Datenbankinhalte zugreifen. Das bedeutet im Umkehrschluss, dass Mechanismen auf der Seite der Datenbank hauptsächlich den Zweck erfüllen, die Auswirkung von Fehlern in der Anwendungsentwicklung zu minimieren. Sie können aber auch verhindern, dass Inhalte der Datenbank über solche Fehler unsachgemäß gelesen oder geändert werden. Eine weitere Möglichkeit besteht auf Datenbankebene darin, Zugriffe zu dokumentieren und bei unsachgemäßen Vorgängen zu alarmieren. 4.1 Patching Durch den bereits beschriebenen Umstand, dass zu Sicherheitslücken immer schneller Exploits auftauchen, steigt auch die Gefahr, dass die Lücken tatsächlich für betrügerische Zwecke ausgenutzt werden. Daher sollten in einem Unternehmen Standardverfahren etabliert werden, mit denen neue Sicherheits-Patches schnellstmöglich angewendet werden können. Von Oracle gibt es hierzu z.b. eine Option für die Datenbank-Management- und Administrations-Lösung Grid Control, mit deren Hilfe Patches sehr schnell in die Infrastruktur eingebracht werden können. Ein intensiver Test der Auswirkung von solchen Patches ist nach wie vor obligatorisch, das eigentliche Umsetzen der Patches wird aber deutlich beschleunigt. Information Management & Consulting 23 (2008) 1 71

5 4.2 Prüfung auf Sicherheitslücken Da Tools zur Ausnutzung von potenziellen Sicherheitslücken immer schneller entwickelt werden, ist es ratsam, auch für die eigene Überprüfung der Sicherheit der Infrastruktur entsprechende Tools einzusetzen. Für Datenbanken existieren hier spezielle Lösungen, die Unternehmen sehr schnell einen Überblick über mögliche Sicherheitslücken in den installierten Datenbanken bieten. Red Database Security hat ein Tool mit der Bezeichnung Oracle Repscan entwickelt, das Oracle Datenbanken auf die verschiedensten Sicherheitslücken hin überprüft (z.b. Rootkits, unsichere Passwörter, Anfälligkeit für SQL-Injection etc.). Von anderen Herstellern wie z.b. Next Generation Security Software Ltd. gibt es ähnliche Security Scanner auch für andere Datenbanksysteme. 4.3 Auditing Auf Datenbank-Ebene ist es Aufgabe des Auditing, Zugriffe auf die Datenbank zu protokollieren, diese Protokolle vor Manipulationen zu schützen und auswertbar zu machen. Insbesondere die letzten beiden Punkte werden in der Praxis jedoch gerne vernachlässigt. Ein Auditing, dessen Protokolle von einem Angreifer manipuliert werden können oder dessen Protokolle nie ausgewertet werden, ist ohne jeden Nutzen für die Datensicherheit. Je nach Hersteller bringen die Datenbank-Produkte z.t. schon eigene Funktionen für das Auditing mit oder haben eigene Produkte im Angebot, die eine Audit-Funktion zur Verfügung stellen können. Genannt seien hier z.b. von Oracle das Produkt Audit Vault, DBProtect von Application Security Inc. oder Hedgehog Enterprise von Sentrigo. 4.4 Verschlüsselung von Datenbank-Inhalten Bei der Verschlüsselung von Datenbank-Inhalten wird generell zwischen transparenten und nicht-transparenten Verfahren unterschieden. Transparente Verfahren haben gemeinhin den Vorteil, dass die Applikation, die auf die Daten zugreift, nicht angepasst werden muss. Es werden komplette Teile der Datenbank über Passwörter, Zertifikate oder auch Hardware-Schlüssel gesichert. Um die Daten nutzen zu können, muss in der Regel bei jedem Starten der Datenbank-Software die Entschlüsselung aktiviert werden. Anschließend können alle Programme, die an dem Datenbank- System angemeldet sind, ohne zusätzliche Schritte auf die Datenbank-Inhalte zugreifen. Das System ist somit gegen einen Diebstahl auf Basis der reinen Datenbank-Dateien geschützt. Diese Art der Verschlüsselung verhindert jedoch nicht, dass ein potenzieller Angreifer sich über die Applikation Zugriff auf die Daten verschafft oder der Administrator die Daten über die Anmeldung am Datenbank-System auslesen kann. Auch wenn diese Form der Verschlüsselung grundsätzlich dafür gedacht ist, die Datensicherheit zu erhöhen, birgt sie implizit auch Gefahren. Geht der Schlüssel für die Entschlüsselung der Daten unbeabsichtigt oder aber auch beabsichtigt verloren, so sind die Daten unwiederbringlich verloren. Es sollte daher bei der Wahl der Schlüssel berücksichtigt werden, wie diese im Falle eines Verlusts wiederhergestellt werden können. Bei der nicht-transparenten Methodik werden in der Regel nur kleinere Bestandteile der Datenbank verschlüsselt (z.b. einzelne Tabellen). Diese werden dann zur Laufzeit über die Angabe der Entschlüsselungsmethode wieder entschlüsselt, d.h. der Code in der Applikation muss dafür sorgen, dass die entsprechenden Funktionen oder Prozeduren aufgerufen werden. Der Vorteil dieser Art der Verschlüsselung besteht darin, dass die Daten zu keinem Zeitpunkt ohne explizite Angabe des Entschlüsselungsmechanismus ausgelesen werden können. Zur Ver- und Entschlüsselung von Datenbank-Inhalten existieren eine Vielzahl von Möglichkeiten und fertigen Lösungen. 4.5 Schutz vor Administratoren Eine der größten Herausforderungen für den IT-Betrieb besteht darin, die Systeme vor ihren eigenen Administratoren zu schützen. Grundsätzlich neigen Administratoren selbstverständlich nicht stärker zu einem Fehlverhalten als andere Personengruppen. Aufgrund Ihrer Rolle im Unternehmen verfügen sie aber in der Regel über sehr umfangreiche Rechte und sind damit viel eher in der Lage, Daten missbräuchlich zu verwenden. Hinzu kommt, dass Fehler bei der Administration unbeabsichtigt starke Auswirkungen auf die Datensicherheit haben können (z.b. versehentliches Löschen einer kompletten Datenbank). Auf Datenbank-Ebene stehen - abhängig vom jeweiligen Hersteller - umfangreiche Rechtekonzepte zur Verfügung, um auch den Administratoren dediziert nur solche Rechte zu geben, die sie für die tägliche Arbeit benötigen. Unabhängig vom Hersteller der Datenbank haben allerdings alle Systeme die Eigenschaft gemein, dass der Datenbank-Administrator (und damit abhängig vom Betriebssystem auch der Betriebssystem-Administrator des jeweiligen Servers) Rechte auf alle Objekte in der Datenbank hat. Formal richtig wird in verschiedenen Regelwerken gefordert, dass die technische und die fachliche Administration von Systemen entkoppelt werden muss und besonders schwerwiegende Änderungen nur nach dem Vier-Augen-Prinzip vorgenommen werden dürfen. So richtig diese Forderung ist, so gering ist bisher die Unterstützung dieser Forderungen durch die Hersteller. Oracle hat bislang als einziger Datenbank-Hersteller für diese Anforderung ein Produkt mit der Bezeichnung Database Vault entwickelt. Auch wenn das Produkt bislang noch nicht alle Anforderungen umfassend erfüllt, ist dies jedoch ein wichtiger Schritt in die richtige Richtung. Aufgrund des intensiven Wettbewerbs im Datenbank- Markt ist davon auszugehen, dass die Mitbewerber von Oracle in Kürze mit ähnlichen Produkten aufwarten werden. 72 Information Management & Consulting 23 (2008) 1

6 IT-Sicherheit 5. Fazit Zusammenfassend lässt sich feststellen, dass Datensicherheit nicht ausschließlich davon abhängt, wie sicher eine Datenbank ist. In allen beteiligten Komponenten (Nutzer, Netzwerke, Firewalls, Datenbank, Web-/Applikation-Server und Storage) können Sicherheitslücken auftreten, die nur schwerlich durch Sicherheitsmaßnahmen in anderen Komponenten aufgefangen werden können. Für Infrastrukturen, mit denen schützenswerte Daten verarbeitet werden, sollten die folgenden Vorgaben berücksichtigt werden: - zwischen den verschiedenen Komponenten darf ausschließlich verschlüsselte Kommunikation stattfinden; - Server und Endgeräte (vor allem PCs) müssen gegen unautorisierte Installation und Manipulation gesichert sein; - es ist eine semantische und syntaktische Prüfung bei allen Zugriffen von der Applikation auf die Datenbank zu etablieren; - es ist eine semantische und syntaktische Prüfung bei allen Zugriffen von Programmpaketen innerhalb der Datenbank zu etablieren; - nur solche Rechte dürfen vergeben werden, die zwingend notwendig sind am besten anhand von Positiv-Listen; - besonders schützenswerte Daten müssen in der Datenbank über Verschlüsselung sicher abgelegt werden; - für Zugriffe ist ein Auditing vorzusehen (mit Schutz der Protokolle und Auswertbarkeit); - einzelne Komponenten sind über Firewalls abzusichern, dabei soll nur von jenen Netzteilen ein Zugriff möglich sein, die diesen auch wirklich benötigen. Literatur [1] BSI: Die Lage der IT-Sicherheit in Deutschland 2007 [2] CA, IT-Sicherheit 2006/2007 [3] [4] David Litchfield, [5] Joxean Koret, Autor Torsten Schlautmann Opitz Consulting GmbH Kirchstraße Gummersbach Tel: 02261/ Fax: 02261/ Internet: The role of databases regarding data security In today s information technology corporate information is normally saved in databases. However, it does not suffice to only secure the database as such to guarantee data security. It is rather imperative to protect all components of an infrastructure to assure a maximum of data security. Information Management & Consulting 23 (2008) 1 73

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15 Vorwort.................................................. 13 Einleitung................................................ 15 1 Aufwand versus Sicherheit was ist angemessen?.............. 17 1.1 Warum ist

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver Mit Hilfe des Programmes pzmadmin v1.6.x Inhaltsverzeichnis Inhaltsverzeichnis...2 Voraussetzungen...3 Schritt 1: Verbindungsdaten

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Datensicherung. Beschreibung der Datensicherung

Datensicherung. Beschreibung der Datensicherung Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Jugendschutz und Sicherheit am PC und im World Wide Web

Jugendschutz und Sicherheit am PC und im World Wide Web Jugendschutz und Sicherheit am PC und im World Wide Web In der Schule, im Büro oder in der Freizeit, längst sind das Internet und der PC für viele von uns ein fester Bestandteil unseres täglichen Lebens.

Mehr

IT-SECURITY. Detect. Act. Protect.

IT-SECURITY. Detect. Act. Protect. Oktober 2015 IT-SECURITY Detect. Act. Protect. Security-Plattform für SAP 360 0 Sicherheit EDR-Technologie Security, die mitdenkt IT Blackout Deep Security Sicherung privilegierter Benutzerkonten Assessment

Mehr

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29)

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der

Mehr

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen

Externen Standorten vollen, sicheren Zugriff auf alle IT-Resourcen zu ermöglichen Information als Erfolgsfaktor Ihres Unternehmens Der Erfolg eines Unternehmens hängt von der Schnelligkeit ab, mit der es seine Kunden erreicht. Eine flexible, zukunftsorientierte und effiziente Infrastruktur

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger.

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger. Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik www.bsi-fuer-buerger.de MOBILKOMMUNIKATION VORWORT Mobilkommunikation Basisschutz leicht

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

Benutzerdokumentation Hosted Backup Services Client

Benutzerdokumentation Hosted Backup Services Client Benutzerdokumentation Hosted Backup Services Client Geschäftshaus Pilatushof Grabenhofstrasse 4 6010 Kriens Version 1.1 28.04.2014 Inhaltsverzeichnis 1 Einleitung 4 2 Voraussetzungen 4 3 Installation 5

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant Die Kunst des Krieges Parallelen zu Cybercrime Michael Simon, Security Consultant Die größte Verwundbarkeit ist die Unwissenheit. Quelle: Sun Tzu, Die Kunst des Krieges 2 Agenda Kenne Dich selbst Schwachstelle,

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

... die Zeitschrift der DOAG-Mitglieder. News. Deutsche ORACLE-Anwendergruppe. Grid Computing

... die Zeitschrift der DOAG-Mitglieder. News. Deutsche ORACLE-Anwendergruppe. Grid Computing Deutsche ORACLE-Anwendergruppe News... die Zeitschrift der DOAG-Mitglieder Grid Computing ISSN 0936-0360 www.doag.org Q2/2005 Architektur einer mobilen Swing-Anwendung Autoren: Frank Kohmann, Stefan Götzl,

Mehr

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH 6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Corporate Security Portal

Corporate Security Portal Corporate Security Portal > IT Sicherheit für Unternehmen Marktler Straße 50 84489 Burghausen Germany Fon +49 8677 9747-0 Fax +49 8677 9747-199 www.coc-ag.de kontakt@coc-ag.de Optimierte Unternehmenssicherheit

Mehr

NTFS Encrypting File System

NTFS Encrypting File System NTFS Encrypting File System Markus Gerstner Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg Überblick Was genau ist EFS? Warum EFS? Das Verschlüsselungsverfahren

Mehr

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

2. Installation unter Windows 8.1 mit Internetexplorer 11.0 1. Allgemeines Der Zugang zum Landesnetz stellt folgende Anforderungen an die Software: Betriebssystem: Windows 7 32- / 64-bit Windows 8.1 64-bit Windows Server 2K8 R2 Webbrowser: Microsoft Internet Explorer

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar 2006. Martin Seeger NetUSE AG ms@netuse.de Seite: 1 mit Tufin SecureTrack NUBIT 2006 Kiel, 17. Februar 2006 Martin Seeger NetUSE AG ms@netuse.de Seite: 2 mit Tufin SecureTrack Agenda Herausforderungen Aufbau und Funktionsweise Versionsstände Vergleiche

Mehr

Daten schützen und Daten sichern - wie geht das? (Teil 1) ***

Daten schützen und Daten sichern - wie geht das? (Teil 1) *** Daten schützen und Daten sichern - wie geht das? (Teil 1) *** Jürgen Thau Daten schützen und Daten sichern - wie geht das? (Teil 1) Jürgen Thau, 15.10.2006, Seite 1 Themen Welche Gefahren drohen meinen

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

D.C.DialogManager Internet

D.C.DialogManager Internet D.C.DialogManager Internet Diese Hinweise sollen die wichtigsten Fragen im Zusammenhang mit der Nutzung des D.C.Dialogmanager beantworten. Sie wenden sich an Personen, die zur Nutzung des D.C.Dialogmanager

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Benutzerzertifikate für Java Webstart

Benutzerzertifikate für Java Webstart Benutzerzertifikate für Java Webstart Benutzerdokumentation Wien 5. Dezember 2011 Florian Bruckner, Florian Heinisch 3kraft IT GmbH & Co KG Wasagasse 26/2 1090 Wien Österreich Tel: +43 1 920 45 49 Fax

Mehr

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung!

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung! Installation TaxiLogbuch ist eine sogenannte Client-Server-Anwendung. Das Installationsprogramm fragt alle wichtigen Dinge ab und installiert entsprechend Client- und Server-Komponenten. Bei Client-Server-Anwendungen

Mehr

Dokumentation. juris Autologon-Tool. Version 3.1

Dokumentation. juris Autologon-Tool. Version 3.1 Dokumentation juris Autologon-Tool Version 3.1 Inhaltsverzeichnis: 1. Allgemeines... 3 2. Installation Einzelplatz... 3 3. Installation Netzwerk... 3 4. Konfiguration Netzwerk... 3 4.1 Die Autologon.ini...

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

Verschlüsselung von USB Sticks mit TrueCrypt

Verschlüsselung von USB Sticks mit TrueCrypt Verschlüsselung von USB Sticks mit TrueCrypt Martin Bürk m.buerk@realschule-ditzingen.de Hintergrund und Motivation Verwaltungsvorschrift zum Datenschutz an öffentlichen Schulen vom 25.11.2009 Erklärung:

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Online-Banking. 45 Tipps für das sichere Online-Banking

Online-Banking. 45 Tipps für das sichere Online-Banking Online-Banking 45 Tipps für das sichere Online-Banking Notwendige Sicherheitsvorkehrungen am PC Versuchen Sie, möglichst wenige Personen an 1 dem PC arbeiten zu lassen, an dem Sie auch das Online-Banking

Mehr

Passwort-Sicherheit. Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die

Passwort-Sicherheit. Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die Passwort-Sicherheit Passwort-Sicherheit Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die falschen Hände H gelangen könnten. k Um das zu verhindern,

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2 disk2vhd Wie sichere ich meine Daten von Windows XP? Inhalt Thema Seite Vorwort 1 Sichern der Festplatte 2 Einbinden der Sicherung als Laufwerk für Windows Vista & Windows 7 3 Einbinden der Sicherung als

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

iphone und ipad im Unternehmen? Ja. Sicher.

iphone und ipad im Unternehmen? Ja. Sicher. iphone und ipad im Unternehmen? Ja. Sicher. Im aktivierten Smartcard-Modus ist der unautorisierte Zugriff auf Geschäftsdaten in SecurePIM nach heutigem Stand der Technik nicht möglich. Ihr Upgrade in die

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Malte Hesse Hesse@internet-sicherheit.de

Malte Hesse Hesse@internet-sicherheit.de Sichere Integration mobiler Nutzer in bestehende Unternehmensnetzwerke DACH Mobility 2006 Malte Hesse Hesse@internet-sicherheit.de Institut für Internet-Sicherheit https://www.internet-sicherheit.de Fachhochschule

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

HILFE Datei. UPC Online Backup

HILFE Datei. UPC Online Backup HILFE Datei UPC Online Backup Inhalt Login Screen......? Welcome Screen:......? Manage Files Screen:...? Fotoalbum Screen:.........? Online backup Client Screen...? Frequently Asked Questions (FAQ s)...?

Mehr

Basiswissen. Verschlüsselung und Bildschirmsperre

Basiswissen. Verschlüsselung und Bildschirmsperre Basiswissen Verschlüsselung und Bildschirmsperre Der Speicher des Smartphones/Tablets ist vor unbefugtem Zugriff zu schützen. Dies kann durch Verschlüsselung oder äquivalente Verfahren realisiert werden.

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein Einleitung Memeo Instant Backup ist eine einfache Backup-Lösung für eine komplexe digitale Welt. Durch automatisch und fortlaufende Sicherung Ihrer wertvollen Dateien auf Ihrem Laufwerk C:, schützt Memeo

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM Server-Eye Stand 30.07.2013 Copyright 2012 by REDDOXX GmbH REDDOXX GmbH Neue Weilheimer Str. 14 D-73230 Kirchheim Fon: +49 (0)7021 92846-0 Fax: +49 (0)7021 92846-99 E-Mail: info@reddoxx.com Internet: http://www.reddoxx.com

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

BitDefender Client Security Kurzanleitung

BitDefender Client Security Kurzanleitung BitDefender Client Security Kurzanleitung...1 Appendix A Kurzanleitung mit Screenshots...2 BitDefender Client Security Kurzanleitung 1. Wählen Sie entweder 32 oder 64 bit Management Server aus dem BitDefender

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

www.dolphinsecure.de Kinder im Internet? Aber mit Sicherheit! Installationsanleitung Windows Seite

www.dolphinsecure.de Kinder im Internet? Aber mit Sicherheit! Installationsanleitung Windows Seite www.dolphinsecure.de Kinder im Internet? Aber mit Sicherheit! 1 Installationsanleitung Windows Willkommen bei Dolphin Secure Auf den folgenden n werden Sie durch die Installation der Kinderschutz-Software

Mehr

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1 Arbeitsblätter Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685 Aufgaben Kapitel 1 1. Sie betreuen die Clients in Ihrer Firma. Es handelt sich um Windows 7 Rechner in einer Active Momentan

Mehr

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten

Mobilkommunikation Basisschutz leicht gemacht. 10 Tipps zum Umgang mit mobilen Geräten www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit mobilen Geräten Mobilkommunikation Vorwort Mobilkommunikation Basisschutz leicht

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Verwendung des IDS Backup Systems unter Windows 2000

Verwendung des IDS Backup Systems unter Windows 2000 Verwendung des IDS Backup Systems unter Windows 2000 1. Download der Software Netbackup2000 Unter der Adresse http://www.ids-mannheim.de/zdv/lokal/dienste/backup finden Sie die Software Netbackup2000.

Mehr

X5 unter Windows Vista / 7 und Windows 2008 Server

X5 unter Windows Vista / 7 und Windows 2008 Server X5 unter Windows Vista / 7 und Windows 2008 Server Die Benutzerkontensteuerung (später UAC) ist ein Sicherheitsfeature, welches Microsoft ab Windows Vista innerhalb ihrer Betriebssysteme einsetzt. Die

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben VPN In diesem Versuch lernen Sie eine sichere VPN Verbindung zu einem Server aufzubauen. Dabei werden zuerst ältere Verfahren eingesetzt

Mehr

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Whitepaper bi-cube SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE SITUATION...3 2 ZIELSTELLUNG...4 3 VORAUSSETZUNG...5 4 ARCHITEKTUR DER LÖSUNG...6 4.1 Biometrische

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr