Welche Rolle spielen Datenbanken bei der Datensicherheit?

Größe: px
Ab Seite anzeigen:

Download "Welche Rolle spielen Datenbanken bei der Datensicherheit?"

Transkript

1 Torsten Schlautmann, Opitz Consulting GmbH Welche Rolle spielen Datenbanken bei der Datensicherheit? Unternehmensdaten werden in der heutigen Informationstechnologie in der Regel in Datenbanksystemen gespeichert. Doch reicht es bei weitem nicht aus, nur die Datenbank möglichst stark abzusichern, um die Datensicherheit zu gewährleisten. Nur wenn alle Komponenten einer Infrastruktur abgesichert sind, kann Datensicherheit gewährleistet werden. Keywords Data Security, Database, Security Hole, Auditing Stichworte Datensicherheit, Datenbank, Sicherheitslücken, Auditing 1. Die Rolle von Datenbanken in der heutigen IT Datenbanken sind heutzutage das zentrale Element fast jeder Unternehmenssoftware. Sie haben hierbei die Aufgabe, Daten des Unternehmens dauerhaft zu speichern und wieder abrufbar zu machen. Egal, ob Software zur Steuerung des Vertriebsaußendienstes, um die Finanzbuchhaltung oder ein Online Handelssystem (z.b. Internetshop) betroffen sind: Die Anwender, das Unternehmen und die Kunden sind in der Regel darauf angewiesen, dass die eingegebenen oder erzeugten Daten dauerhaft zur Verfügung stehen. Zusätzlich existieren zahlreiche gesetzliche Auflagen, die Unternehmen dazu verpflichten, bestimmte Daten zu sichern und gegen unbefugte Einsicht und gegen Manipulationen zu schützen (z.b. BDSG, KontraG, CGK, TransPuG, Basell II, Sarbanes Oaxley Act, PCI). In den letzten Jahren ist die IT-Sicherheit verstärkt in den Fokus der IT-Verantwortlichen gerückt. Dabei kommt der Sicherheit von Datenbanken jedoch nur eine sehr untergeordnete Rolle zu. Im Zentrum stehen vielmehr die Sicherung der Netzwerkinfrastruktur und der Server sowie die Absicherung von PCs und Servern gegen Viren. 2. Erhöhtes Gefahrenpotenzial Heutige IT-Architekturen basieren zu einem hohen Anteil auf umfangreicher Vernetzung. Innerhalb des Unternehmens findet die Integration und Kommunikation verschiedener IT-Systeme über das Netzwerk statt, bestimmte Applikationen werden Mitarbeitern, Kunden, Lieferanten und Partnern über das Internet zur Verfügung gestellt. Neben den vielen Vorteilen birgt die Vernetzung jedoch auch viele Gefahren: Über die selben Wege, auf denen gewollte Kommunikation stattfindet, kann auch ungewollt Kommunikation stattfinden. Zu diesem Zweck sichern sich Unternehmen umfangreich durch Firewalls, Virtuelle LANs (VLANs) etc. ab. Eine weitere Gefährdung stellt die Verbreitung von Schadsoftware dar. In diesem Kontext ist jedoch nicht die Rede von Würmern oder Viren, sondern von der Verfügbarkeit sogenannter Exploits. Darunter versteht man Probe-Implementierungen zur Ausnutzung von Sicherheitslücken. Dauerte es vor zwei Jahren noch durchschnittlich mehr als sechs Tage, bis zu einer bekannten Sicherheitslücke ein fertiger Exploit verfügbar war, so sind es heute im Mittel nur noch drei [1]. Die weltweite Vernetzung führt nicht nur zu einem schnelleren Zugang zu den Informationen, die für die Erstellung eines Exploits notwendig sind, sondern auch zu einer rasanten Verbreitung der entwickelten Exploits. 3. Arten von Gefährdungen Die folgende Grafik zeigt jene Komponenten, die in vielen heutigen Architekturen an der Ausführung von Applikationen beteiligt sind, auch wenn diese äußerlich einfacher erscheinen. Oft stellt sich das Bild in der Realität noch deutlich komplexer dar. So befinden sich auf Unternehmensebene in der Regel zwischen Applikations- und Datenbank-Server zusätzliche Firewalls. Zur Verdeutlichung der Sicherheits-Gefährdung über die verschiedenen Komponenten reicht diese Darstellung jedoch aus. Information Management & Consulting 23 (2008) 1 69

2 3.2 Endgeräte Virenscanner gehören heutzutage zur Standard-Software jedes PCs. Trotzdem führen immer neue Viren, Trojaner und Würmer dazu, dass es zu Störungen in der IT kommt. Der Ansatz bei diesen Komponenten ist es, sicherzustellen, dass nur gewollte Kommunikation stattfindet. So sollen z.b. keine Viren in das Unternehmensnetzwerk gelangen, aber auch keine externen Medien (wie z.b. USB-Sticks) ungewollt verwendet werden können. Diese können schließlich dazu verwendet werden, unerwünschte Inhalte in das Unternehmen einzuschleusen oder unzulässigerweise Informationen aus dem Unternehmen heraus zu bringen. Neue Tools ermöglichen es verstärkt auch nicht speziell vorgebildeten Mitarbeitern, Sicherheitslücken bei Datenbanken auszunutzen. Die Absicherung der Endgeräte gegen das bewusste Einbringen in das Unternehmensnetz gewinnt so zusätzlich an Bedeutung. (z.b. Goss GUI Oracle Scanner [3], Oracle Assessment Kit (OAK) von David Litchfield [4], Inguma von Joxean Koret [5]) 3.3 Firewall / Router Abbildung 1: Übersicht über die Schichten 3.1 Nutzer Eine noch immer häufig unterschätzte Komponente beim Thema IT-Sicherheit ist der Nutzer auch wenn nach einer Studie von Computer Associates von 2006 bereits 41 Prozent der befragten Unternehmen die Gefahr durch einen Angreifer von innen höher einschätzten als die eines externen Hackerangriffes [2]. Die operative Hürde für Datendiebstahl, -manipulation oder -vernichtung hat mit der Einführung von IT-Systemen deutlich abgenommen sofern nicht entsprechende Sicherheitsmaßnahmen eingeführt wurden. Zur Verdeutlichung: Es kostet sicher mehr Überwindung, einen Stapel Akten zu fotokopieren und aus dem Büro zu entwenden, als ein paar Dateien auf einen USB-Stick zu kopieren und mitzunehmen. Zusätzlich entstehen neue menschliche Sicherheitslücken durch verstärkte Ansätze im Bereich Single-Sign-On. Es ist sicher sehr praktisch, sich morgens nur einmal am Rechner anzumelden und danach sämtliche Applikationen ohne weitere Eingaben von Benutzernamen und Passwort aufrufen zu können. Aus Sicherheitsperspektive ist diese Bequemlichkeit aber äußerst problematisch. Wenn der Nutzer seinen PC bei Verlassen des Gerätes nicht sperrt, kann schließlich jeder ohne weitere Anmeldungen Applikationen des Nutzers aufrufen und missbrauchen. Mindestens gleichermaßen problematisch ist es natürlich, wenn die Nutzer ohne Single-Sign-On Passwörter sorglos notieren und damit anderen zugänglich machen. Nachdem Firewalls vor einigen Jahren noch fast ausschließlich zur Absicherung des firmeneigenen Netzes gegen ungewollte Zugriffe aus dem Internet eingesetzt wurden, dienen diese heutzutage mehr und mehr auch der Absicherung der verschiedenen Netzsegmente intern. Mit Hilfe von Firewalls lassen sich unerlaubte Zugriffe zwischen verschiedenen Netzwerken verhindern. Auch wenn die Hersteller der Firewalls zunehmend mehr Intelligenz in ihre Software implementieren (weg von den rein mechanischen, netzwerkbasierten Regelwerken, hin zu mehr inhaltsbasierten Algorithmen), so können diese verständlicherweise nicht mit Kenntnis über die semantisch und syntaktisch korrekten Zugriffe auf Applikationsebene aufwarten. 3.4 Web- und Applikationsserver Über den Webserver findet in einer modernen Mehrschicht-Architektur der Zugriff auf die Applikation statt. Aus verschiedenen Gründen kann es vorkommen, dass Web- und Applikationsserver auf getrennter Hardware ausgeführt werden. So könnte es etwa aus Sicherheitsgründen unerwünscht sein, dass der eigentliche Applikations-Server für die Nutzer erreichbar ist. In der Regel wird jedoch eine verteilte Installationsform gewählt, um einen bessere Skalierbarkeit des Gesamtsystems zu erreichen. Bei Web- und Applikationsservern ist darauf zu achten, alle Sicherheits-Patches zu installieren und alle Sicherheitsfunktionen zu aktivieren. Die Verwundbarkeit der eigentlichen Applikationen und die möglichen Maßnahmen hängen maßgeblich von der Art der Software ab: Wurde diese individuell (selbst oder durch einen Dienstleister) entwickelt? Oder handelt es sich um eine Standard-Software? Bei einer Standard-Software ist es dem Unternehmen nicht möglich, auf Applikationsebene für einen Schutz der Daten gegen unauthorisierte Nutzung zu sorgen das ist Sache der Software-An- 70 Information Management & Consulting 23 (2008) 1

3 3.2 Endgeräte Virenscanner gehören heutzutage zur Standard-Software jedes PCs. Trotzdem führen immer neue Viren, Trojaner und Würmer dazu, dass es zu Störungen in der IT kommt. Der Ansatz bei diesen Komponenten ist es, sicherzustellen, dass nur gewollte Kommunikation stattfindet. So sollen z.b. keine Viren in das Unternehmensnetzwerk gelangen, aber auch keine externen Medien (wie z.b. USB-Sticks) ungewollt verwendet werden können. Diese können schließlich dazu verwendet werden, unerwünschte Inhalte in das Unternehmen einzuschleusen oder unzulässigerweise Informationen aus dem Unternehmen heraus zu bringen. Neue Tools ermöglichen es verstärkt auch nicht speziell vorgebildeten Mitarbeitern, Sicherheitslücken bei Datenbanken auszunutzen. Die Absicherung der Endgeräte gegen das bewusste Einbringen in das Unternehmensnetz gewinnt so zusätzlich an Bedeutung. (z.b. Goss GUI Oracle Scanner [3], Oracle Assessment Kit (OAK) von David Litchfield [4], Inguma von Joxean Koret [5]) 3.3 Firewall / Router Abbildung 1: Übersicht über die Schichten 3.1 Nutzer Eine noch immer häufig unterschätzte Komponente beim Thema IT-Sicherheit ist der Nutzer auch wenn nach einer Studie von Computer Associates von 2006 bereits 41 Prozent der befragten Unternehmen die Gefahr durch einen Angreifer von innen höher einschätzten als die eines externen Hackerangriffes [2]. Die operative Hürde für Datendiebstahl, -manipulation oder -vernichtung hat mit der Einführung von IT-Systemen deutlich abgenommen sofern nicht entsprechende Sicherheitsmaßnahmen eingeführt wurden. Zur Verdeutlichung: Es kostet sicher mehr Überwindung, einen Stapel Akten zu fotokopieren und aus dem Büro zu entwenden, als ein paar Dateien auf einen USB-Stick zu kopieren und mitzunehmen. Zusätzlich entstehen neue menschliche Sicherheitslücken durch verstärkte Ansätze im Bereich Single-Sign-On. Es ist sicher sehr praktisch, sich morgens nur einmal am Rechner anzumelden und danach sämtliche Applikationen ohne weitere Eingaben von Benutzernamen und Passwort aufrufen zu können. Aus Sicherheitsperspektive ist diese Bequemlichkeit aber äußerst problematisch. Wenn der Nutzer seinen PC bei Verlassen des Gerätes nicht sperrt, kann schließlich jeder ohne weitere Anmeldungen Applikationen des Nutzers aufrufen und missbrauchen. Mindestens gleichermaßen problematisch ist es natürlich, wenn die Nutzer ohne Single-Sign-On Passwörter sorglos notieren und damit anderen zugänglich machen. Nachdem Firewalls vor einigen Jahren noch fast ausschließlich zur Absicherung des firmeneigenen Netzes gegen ungewollte Zugriffe aus dem Internet eingesetzt wurden, dienen diese heutzutage mehr und mehr auch der Absicherung der verschiedenen Netzsegmente intern. Mit Hilfe von Firewalls lassen sich unerlaubte Zugriffe zwischen verschiedenen Netzwerken verhindern. Auch wenn die Hersteller der Firewalls zunehmend mehr Intelligenz in ihre Software implementieren (weg von den rein mechanischen, netzwerkbasierten Regelwerken, hin zu mehr inhaltsbasierten Algorithmen), so können diese verständlicherweise nicht mit Kenntnis über die semantisch und syntaktisch korrekten Zugriffe auf Applikationsebene aufwarten. 3.4 Web- und Applikationsserver Über den Webserver findet in einer modernen Mehrschicht-Architektur der Zugriff auf die Applikation statt. Aus verschiedenen Gründen kann es vorkommen, dass Web- und Applikationsserver auf getrennter Hardware ausgeführt werden. So könnte es etwa aus Sicherheitsgründen unerwünscht sein, dass der eigentliche Applikations-Server für die Nutzer erreichbar ist. In der Regel wird jedoch eine verteilte Installationsform gewählt, um einen bessere Skalierbarkeit des Gesamtsystems zu erreichen. Bei Web- und Applikationsservern ist darauf zu achten, alle Sicherheits-Patches zu installieren und alle Sicherheitsfunktionen zu aktivieren. Die Verwundbarkeit der eigentlichen Applikationen und die möglichen Maßnahmen hängen maßgeblich von der Art der Software ab: Wurde diese individuell (selbst oder durch einen Dienstleister) entwickelt? Oder handelt es sich um eine Standard-Software? Bei einer Standard-Software ist es dem Unternehmen nicht möglich, auf Applikationsebene für einen Schutz der Daten gegen unauthorisierte Nutzung zu sorgen das ist Sache der Software-An- 70 Information Management & Consulting 23 (2008) 1

4 IT-Sicherheit bieter, die bei Bekanntwerden von Sicherheitslücken für die entsprechende Überarbeitung des Codes sorgen müssen. In bestimmten Fällen kann das Unternehmen mit Hilfe des Einsatzes von WebShields potenzielle Sicherheitslücken absichern; hierzu ist jedoch eine gute Kenntnis der Applikation erforderlich. Bei individuell entwickelter Software kann proaktiv nur durch sauber definierte Entwicklungsrichtlinien und eine funktionierende Qualitätssicherung dafür Sorge getragen werden, dass keine Sicherheitslücken entstehen. Diese muss auch die sicherheitsrelevanten Prüfungen der Entwicklung umfassen. Grundsätzlich ist hierbei auch darauf zu achten, dass bei der Entwicklung keine absichtlichen Lücken entstehen: Sogenannte Backdoors, die es einem Entwickler erlauben, sich unbefugt Zugriff auf Daten zu verschaffen. Bei der Abwägung bezüglich der Sicherheit von Standard-Software und Individual-Software muss auch berücksichtigt werden, dass Sicherheitslücken bei Standard-Software eher bekannt werden und daher sehr viel wahrscheinlicher Exploits verfügbar werden. Eine Reihe potenzieller Sicherheitslücken ermöglichen es Angreifern, sich auch ohne eigenen Benutzerzugang über eine Web-Applikation Zugang zu den Daten eines Unternehmens zu verschaffen. Dazu zählen Session Hijacking, Phishing, Man-in-the- Middle, SQL-Injection, Wörterbuchangriffe und Cross-Site- Authentication. Hat ein Angreifer einmal Zugang zur Applikation erlangt, so kann er sich über zusätzliche Schritte höherwertige Rechte in der Applikation und der Datenbank verschaffen. Datenbanken an sich werden nur selten zu direkten Zielen von externen Angreifern, da sie in der Regel durch Firewalls entsprechend abgesichert sind. Trotzdem ist fast in jedem Falle der Inhalt einer Datenbank das eigentliche Ziel des Angriffs. Verfügt der Angreifer über keine direkte Verbindung zur Datenbank, bleibt nur der Weg über eine Applikation. Abhilfe gegen solche Angriffe kann in der Mehrzahl der Fälle nur die Überarbeitung der Applikation (siehe voriges Kapitel) leisten. In der Datenbank selbst sind im Zusammenhang mit den beschriebenen Sicherheitsproblemen nur wenige Maßnahmen möglich: - Implementierung einer Rechteverwaltung mit positiver Vergabe von Rechten: Es werden nur solche Rechte vergeben, die für die Applikation notwendig sind; - Trennung von Benutzern / Benutzerrechten / Rollen für das Lesen und das Ändern von Daten; - Verwendung von passwortgeschützten Rollenkonzepten, sofern diese Funktionalität durch die Datenbank zur Verfügung gestellt wird; - Einführung von Audit-Mechanismen sowie von Auswertungsverfahren zum Auditing; - Bei Verwendung von individuellen prozeduralen Elementen in der Datenbank: Einführung von semantischen und syntaktischen Prüfungen von Übergabeparametern; - Einsatz von gezielten Verschlüsselungsmechanismen, um besonders sensible Teile oder die gesamten Daten der Applikation zu sichern. 3.6 Betriebssystem und Storage Auf diesen beiden Ebenen muss grundsätzlich dafür Sorge getragen werden, dass sich kein Nutzer unbefugt direkten Zugriff auf die Dateien der Datenbank verschaffen kann. Denn grundsätzlich gilt: Wer Zugriff auf diese Dateien hat, kann sämtlich Daten einsehen. Anders ist dies natürlich, wenn Daten verschlüsselt abgelegt wurden! Analog zur Rechtevergabe ist innerhalb der Datenbank darauf zu achten, dass wirklich nur solche Rechte vergeben werden, die zwingend erforderlich sind. Grundsätzlich ist es bei allen Servern (also auch bei den Web-/Applikations-Servern) auch von entscheidender Bedeutung, dass nur wirklich benötigte Betriebssystem-Funktionen installiert bzw. aktiviert werden. ( Härtung des Betriebssystems ). Außerdem müssen alle verfügbaren Sicherheits-Patches angewendet werden. 4. Tools zur Absicherung von Datenbanken Wie zuvor beschrieben entstehen Gefahren besonders durch unsichere Software-Entwicklung jener Applikationen, die auf die Datenbankinhalte zugreifen. Das bedeutet im Umkehrschluss, dass Mechanismen auf der Seite der Datenbank hauptsächlich den Zweck erfüllen, die Auswirkung von Fehlern in der Anwendungsentwicklung zu minimieren. Sie können aber auch verhindern, dass Inhalte der Datenbank über solche Fehler unsachgemäß gelesen oder geändert werden. Eine weitere Möglichkeit besteht auf Datenbankebene darin, Zugriffe zu dokumentieren und bei unsachgemäßen Vorgängen zu alarmieren. 4.1 Patching Durch den bereits beschriebenen Umstand, dass zu Sicherheitslücken immer schneller Exploits auftauchen, steigt auch die Gefahr, dass die Lücken tatsächlich für betrügerische Zwecke ausgenutzt werden. Daher sollten in einem Unternehmen Standardverfahren etabliert werden, mit denen neue Sicherheits-Patches schnellstmöglich angewendet werden können. Von Oracle gibt es hierzu z.b. eine Option für die Datenbank-Management- und Administrations-Lösung Grid Control, mit deren Hilfe Patches sehr schnell in die Infrastruktur eingebracht werden können. Ein intensiver Test der Auswirkung von solchen Patches ist nach wie vor obligatorisch, das eigentliche Umsetzen der Patches wird aber deutlich beschleunigt. Information Management & Consulting 23 (2008) 1 71

5 4.2 Prüfung auf Sicherheitslücken Da Tools zur Ausnutzung von potenziellen Sicherheitslücken immer schneller entwickelt werden, ist es ratsam, auch für die eigene Überprüfung der Sicherheit der Infrastruktur entsprechende Tools einzusetzen. Für Datenbanken existieren hier spezielle Lösungen, die Unternehmen sehr schnell einen Überblick über mögliche Sicherheitslücken in den installierten Datenbanken bieten. Red Database Security hat ein Tool mit der Bezeichnung Oracle Repscan entwickelt, das Oracle Datenbanken auf die verschiedensten Sicherheitslücken hin überprüft (z.b. Rootkits, unsichere Passwörter, Anfälligkeit für SQL-Injection etc.). Von anderen Herstellern wie z.b. Next Generation Security Software Ltd. gibt es ähnliche Security Scanner auch für andere Datenbanksysteme. 4.3 Auditing Auf Datenbank-Ebene ist es Aufgabe des Auditing, Zugriffe auf die Datenbank zu protokollieren, diese Protokolle vor Manipulationen zu schützen und auswertbar zu machen. Insbesondere die letzten beiden Punkte werden in der Praxis jedoch gerne vernachlässigt. Ein Auditing, dessen Protokolle von einem Angreifer manipuliert werden können oder dessen Protokolle nie ausgewertet werden, ist ohne jeden Nutzen für die Datensicherheit. Je nach Hersteller bringen die Datenbank-Produkte z.t. schon eigene Funktionen für das Auditing mit oder haben eigene Produkte im Angebot, die eine Audit-Funktion zur Verfügung stellen können. Genannt seien hier z.b. von Oracle das Produkt Audit Vault, DBProtect von Application Security Inc. oder Hedgehog Enterprise von Sentrigo. 4.4 Verschlüsselung von Datenbank-Inhalten Bei der Verschlüsselung von Datenbank-Inhalten wird generell zwischen transparenten und nicht-transparenten Verfahren unterschieden. Transparente Verfahren haben gemeinhin den Vorteil, dass die Applikation, die auf die Daten zugreift, nicht angepasst werden muss. Es werden komplette Teile der Datenbank über Passwörter, Zertifikate oder auch Hardware-Schlüssel gesichert. Um die Daten nutzen zu können, muss in der Regel bei jedem Starten der Datenbank-Software die Entschlüsselung aktiviert werden. Anschließend können alle Programme, die an dem Datenbank- System angemeldet sind, ohne zusätzliche Schritte auf die Datenbank-Inhalte zugreifen. Das System ist somit gegen einen Diebstahl auf Basis der reinen Datenbank-Dateien geschützt. Diese Art der Verschlüsselung verhindert jedoch nicht, dass ein potenzieller Angreifer sich über die Applikation Zugriff auf die Daten verschafft oder der Administrator die Daten über die Anmeldung am Datenbank-System auslesen kann. Auch wenn diese Form der Verschlüsselung grundsätzlich dafür gedacht ist, die Datensicherheit zu erhöhen, birgt sie implizit auch Gefahren. Geht der Schlüssel für die Entschlüsselung der Daten unbeabsichtigt oder aber auch beabsichtigt verloren, so sind die Daten unwiederbringlich verloren. Es sollte daher bei der Wahl der Schlüssel berücksichtigt werden, wie diese im Falle eines Verlusts wiederhergestellt werden können. Bei der nicht-transparenten Methodik werden in der Regel nur kleinere Bestandteile der Datenbank verschlüsselt (z.b. einzelne Tabellen). Diese werden dann zur Laufzeit über die Angabe der Entschlüsselungsmethode wieder entschlüsselt, d.h. der Code in der Applikation muss dafür sorgen, dass die entsprechenden Funktionen oder Prozeduren aufgerufen werden. Der Vorteil dieser Art der Verschlüsselung besteht darin, dass die Daten zu keinem Zeitpunkt ohne explizite Angabe des Entschlüsselungsmechanismus ausgelesen werden können. Zur Ver- und Entschlüsselung von Datenbank-Inhalten existieren eine Vielzahl von Möglichkeiten und fertigen Lösungen. 4.5 Schutz vor Administratoren Eine der größten Herausforderungen für den IT-Betrieb besteht darin, die Systeme vor ihren eigenen Administratoren zu schützen. Grundsätzlich neigen Administratoren selbstverständlich nicht stärker zu einem Fehlverhalten als andere Personengruppen. Aufgrund Ihrer Rolle im Unternehmen verfügen sie aber in der Regel über sehr umfangreiche Rechte und sind damit viel eher in der Lage, Daten missbräuchlich zu verwenden. Hinzu kommt, dass Fehler bei der Administration unbeabsichtigt starke Auswirkungen auf die Datensicherheit haben können (z.b. versehentliches Löschen einer kompletten Datenbank). Auf Datenbank-Ebene stehen - abhängig vom jeweiligen Hersteller - umfangreiche Rechtekonzepte zur Verfügung, um auch den Administratoren dediziert nur solche Rechte zu geben, die sie für die tägliche Arbeit benötigen. Unabhängig vom Hersteller der Datenbank haben allerdings alle Systeme die Eigenschaft gemein, dass der Datenbank-Administrator (und damit abhängig vom Betriebssystem auch der Betriebssystem-Administrator des jeweiligen Servers) Rechte auf alle Objekte in der Datenbank hat. Formal richtig wird in verschiedenen Regelwerken gefordert, dass die technische und die fachliche Administration von Systemen entkoppelt werden muss und besonders schwerwiegende Änderungen nur nach dem Vier-Augen-Prinzip vorgenommen werden dürfen. So richtig diese Forderung ist, so gering ist bisher die Unterstützung dieser Forderungen durch die Hersteller. Oracle hat bislang als einziger Datenbank-Hersteller für diese Anforderung ein Produkt mit der Bezeichnung Database Vault entwickelt. Auch wenn das Produkt bislang noch nicht alle Anforderungen umfassend erfüllt, ist dies jedoch ein wichtiger Schritt in die richtige Richtung. Aufgrund des intensiven Wettbewerbs im Datenbank- Markt ist davon auszugehen, dass die Mitbewerber von Oracle in Kürze mit ähnlichen Produkten aufwarten werden. 72 Information Management & Consulting 23 (2008) 1

6 IT-Sicherheit 5. Fazit Zusammenfassend lässt sich feststellen, dass Datensicherheit nicht ausschließlich davon abhängt, wie sicher eine Datenbank ist. In allen beteiligten Komponenten (Nutzer, Netzwerke, Firewalls, Datenbank, Web-/Applikation-Server und Storage) können Sicherheitslücken auftreten, die nur schwerlich durch Sicherheitsmaßnahmen in anderen Komponenten aufgefangen werden können. Für Infrastrukturen, mit denen schützenswerte Daten verarbeitet werden, sollten die folgenden Vorgaben berücksichtigt werden: - zwischen den verschiedenen Komponenten darf ausschließlich verschlüsselte Kommunikation stattfinden; - Server und Endgeräte (vor allem PCs) müssen gegen unautorisierte Installation und Manipulation gesichert sein; - es ist eine semantische und syntaktische Prüfung bei allen Zugriffen von der Applikation auf die Datenbank zu etablieren; - es ist eine semantische und syntaktische Prüfung bei allen Zugriffen von Programmpaketen innerhalb der Datenbank zu etablieren; - nur solche Rechte dürfen vergeben werden, die zwingend notwendig sind am besten anhand von Positiv-Listen; - besonders schützenswerte Daten müssen in der Datenbank über Verschlüsselung sicher abgelegt werden; - für Zugriffe ist ein Auditing vorzusehen (mit Schutz der Protokolle und Auswertbarkeit); - einzelne Komponenten sind über Firewalls abzusichern, dabei soll nur von jenen Netzteilen ein Zugriff möglich sein, die diesen auch wirklich benötigen. Literatur [1] BSI: Die Lage der IT-Sicherheit in Deutschland 2007 [2] CA, IT-Sicherheit 2006/2007 [3] [4] David Litchfield, [5] Joxean Koret, Autor Torsten Schlautmann Opitz Consulting GmbH Kirchstraße Gummersbach Tel: 02261/ Fax: 02261/ Internet: The role of databases regarding data security In today s information technology corporate information is normally saved in databases. However, it does not suffice to only secure the database as such to guarantee data security. It is rather imperative to protect all components of an infrastructure to assure a maximum of data security. Information Management & Consulting 23 (2008) 1 73

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15 Vorwort.................................................. 13 Einleitung................................................ 15 1 Aufwand versus Sicherheit was ist angemessen?.............. 17 1.1 Warum ist

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Online-Banking. 45 Tipps für das sichere Online-Banking

Online-Banking. 45 Tipps für das sichere Online-Banking Online-Banking 45 Tipps für das sichere Online-Banking Notwendige Sicherheitsvorkehrungen am PC Versuchen Sie, möglichst wenige Personen an 1 dem PC arbeiten zu lassen, an dem Sie auch das Online-Banking

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Basiswissen. Verschlüsselung und Bildschirmsperre

Basiswissen. Verschlüsselung und Bildschirmsperre Basiswissen Verschlüsselung und Bildschirmsperre Der Speicher des Smartphones/Tablets ist vor unbefugtem Zugriff zu schützen. Dies kann durch Verschlüsselung oder äquivalente Verfahren realisiert werden.

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Online-Banking Zahlungsverkehr effizient und sicher

Online-Banking Zahlungsverkehr effizient und sicher Online-Banking Zahlungsverkehr effizient und sicher Referent: Simon Lücke Leiter IT-Systeme, Electronic Banking, Zahlungsverkehr Volksbank Marl-Recklinghausen eg Volksbank Marl-Recklinghausen eg Agenda

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

Der optimale Schutz für dynamische Unternehmens-Netzwerke

Der optimale Schutz für dynamische Unternehmens-Netzwerke Der optimale Schutz für dynamische Unternehmens-Netzwerke Kaspersky Open Space Security steht für den zuverlässigen Schutz von Firmen- Netzwerken, die immer mehr zu offenen Systemen mit ständig wechselnden

Mehr

Die Sicherheit Ihres Praxisverwaltungssystems

Die Sicherheit Ihres Praxisverwaltungssystems Die Sicherheit Ihres Praxisverwaltungssystems Was Sie im Umgang mit EDV-Anlagen und Onlinediensten beachten sollten Gefahren bei Sicherheitslücken Ihr Praxisbetrieb ist in hohem Maße abhängig von Ihrem

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

Sichere PCs und Laptops

Sichere PCs und Laptops Sichere PCs und Laptops Sicherheitstools mit der Bürgerkarte A-SIT Zentrum für Sichere Informationstechnologie Dipl.-Ing. Martin Centner SFG, 9. Februar 2006 A-SIT Zentrum für Sichere Informationstechnologie

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

NorCom Global Security for BEA. Mehr Sicherheit für Web-Applikationen

NorCom Global Security for BEA. Mehr Sicherheit für Web-Applikationen NorCom Global Security for BEA Mehr Sicherheit für Web-Applikationen E-Business oder kein Business immer mehr Unternehmen verlagern ihre Geschäftsprozesse ins Internet. Dabei kommt dem Application Server

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Interne Datensicherheit

Interne Datensicherheit Roadmap Interne Datensicherheit Inhalt: Analyse der Ist-Situation Anforderungsdefinition Auswahl der Lösungen Implementierung und Betrieb Nachhaltigkeit 1 2 3 4 5 Analyse der Ist-Situation 1. Bewertung

Mehr

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6 Whitepaper Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff Version: 0.1 Verfasser: Anna Riske Seite 1 von 6 6 Inhaltsverzeichnis Mobile Computing: Mehrstufige Sicherheit für den mobilen

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

www.dolphinsecure.de Kinder im Internet? Aber mit Sicherheit! Installationsanleitung Windows Seite

www.dolphinsecure.de Kinder im Internet? Aber mit Sicherheit! Installationsanleitung Windows Seite www.dolphinsecure.de Kinder im Internet? Aber mit Sicherheit! 1 Installationsanleitung Windows Willkommen bei Dolphin Secure Auf den folgenden n werden Sie durch die Installation der Kinderschutz-Software

Mehr

Boole Server TM. Protected Data. Whenever. Wherever DIE 5 GARANTIEN, DIE NUR BOOLE SERVER LIEFERN KANN. Datenblatt

Boole Server TM. Protected Data. Whenever. Wherever DIE 5 GARANTIEN, DIE NUR BOOLE SERVER LIEFERN KANN. Datenblatt Protected Data. Whenever. Wherever Boole Server TM Die Security Plattform für die gemeinsame Benutzung von sensitiven Daten und vertraulichen Informationen (File/Dokumenten Sharing). Boole Server ist eine

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen. Das Projekt Das Produkt

OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen. Das Projekt Das Produkt OpenSecurity @ OPEN COMMONS_KONGRESS 2014 OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen Das Projekt Das Produkt Nikolaus Dürk, MAS X-Net Services

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Datensicherung. Beschreibung der Datensicherung

Datensicherung. Beschreibung der Datensicherung Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Prüfbericht EgoSecure ENDPOINT Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Das Unternehmen EgoSecure verspricht mit seinem Produkt, EgoSecure Endpoint, die Implementierung von

Mehr

email, Applikationen, Services Alexander Prosser

email, Applikationen, Services Alexander Prosser email, Applikationen, Services Alexander Prosser WWW für Menschen und Maschinen SEITE 2 (C) ALEXANDER PROSSER WWW für Menschen (1) Mensch gibt Adresse ein, z.b. evoting.at oder klickt Link an (2) Server

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen Sicherheit auf Anwendungsebene Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Info-Veranstaltung Sicherheit im Netz

Info-Veranstaltung Sicherheit im Netz Info-Veranstaltung Sicherheit im Netz Zusatz für gewerbliche Anwender Senioren Computer Club Bad Endbach Förderverein Jeegels Hoob Gewerbeverein Bad Endbach Christian Schülke Bad Endbach, 26.02.2008 Agenda

Mehr

Selbstverteidigung im Web

Selbstverteidigung im Web An@- Hacking- Show Selbstverteidigung im Web Marcel Heisig Norman Planner Niklas Reisinger am 27.10.2011 1 Inhalt der Veranstaltung Live- Vorführung gängiger Angriffsszenarien Schutzmaßnahmen Diskussion

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Warum man trotzdem nicht vor Würmern sicher ist Folie Nr. 1 Marc Schneider Vorstellung Bei AV-Test.de für Server- und Groupware-Tests

Mehr

Grünes Licht für Ihre Sicherheit Netzwerksicherheit

Grünes Licht für Ihre Sicherheit Netzwerksicherheit Gesellschaft für angewandte Netzwerksicherheit mbh Grünes Licht für Ihre Sicherheit Netzwerksicherheit Wir schützen Sie vor den Risiken öffentlicher Datennetze IT-Systeme sind die zentralen Ressourcen

Mehr

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Inhalt Was bisher geschah 2 Was passiert am 8. März 2012? 2 Wie teste ich meine Interneteinstellungen? 3 Auf dem PC 3 Auf dem Router 5 Allgemeine

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Ihr Laptop mit Sicherheit?

Ihr Laptop mit Sicherheit? Ihr Laptop mit Sicherheit? Agenda Was bedroht Sie und Ihren Laptop? Legen Sie Ihren Laptop an die Kette Ihr Laptop mit Sicherheit! 2 Was bedroht Sie und Ihren Laptop? Was bedroht Sie und Ihren Laptop?

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Passwort-Sicherheit. Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die

Passwort-Sicherheit. Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die Passwort-Sicherheit Passwort-Sicherheit Das Bundesamt für f r Sicherheit in der Informationstechnik: Fast jeder besitzt Informationen, die in die falschen Hände H gelangen könnten. k Um das zu verhindern,

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Jugendschutz und Sicherheit am PC und im World Wide Web

Jugendschutz und Sicherheit am PC und im World Wide Web Jugendschutz und Sicherheit am PC und im World Wide Web In der Schule, im Büro oder in der Freizeit, längst sind das Internet und der PC für viele von uns ein fester Bestandteil unseres täglichen Lebens.

Mehr

Brainloop Secure Dataroom Version 8.30. QR Code Scanner-Apps für ios Version 1.1 und für Android

Brainloop Secure Dataroom Version 8.30. QR Code Scanner-Apps für ios Version 1.1 und für Android Brainloop Secure Dataroom Version 8.30 QR Code Scanner-Apps für ios Version 1.1 und für Android Schnellstartanleitung Brainloop Secure Dataroom Version 8.30 Copyright Brainloop AG, 2004-2015. Alle Rechte

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ /XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage .htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess

Mehr

MySQL Community Server 5.1 Installationsbeispiel

MySQL Community Server 5.1 Installationsbeispiel MySQL Community Server 5.1 Installationsbeispiel Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der untermstrich-datenbank

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009 Kurt Schädler KSS Partners Establishment Schaan, Liechtenstein Agenda Vorstellung Sicherheitsaspekte Unterschiedliche Sichtweisen aus der Sicht

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker?

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? Dipl.-Inform. Dominik Vallendor 14. November 2013 Tralios IT GmbH www.tralios.de Über mich Dipl.-Inform. Dominik

Mehr

Laufwerk-Verschlüsselung mit BitLocker

Laufwerk-Verschlüsselung mit BitLocker Laufwerk-Verschlüsselung mit Microsoft BitLocker 1 Allgemeine Informationen... 3 1.1 Informationen zu diesem Dokument... Fehler! Textmarke nicht definiert. 1.1.1. Version und Änderungen... Fehler! Textmarke

Mehr

Administrative Tätigkeiten

Administrative Tätigkeiten Administrative Tätigkeiten Benutzer verwalten Mit der Benutzerverwaltung sind Sie in der Lage, Zuständigkeiten innerhalb eines Unternehmens gezielt abzubilden und den Zugang zu sensiblen Daten auf wenige

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Produktunterlagen ASP

Produktunterlagen ASP 1. Produktunterlagen ASP PROLAG World ASP 2 INHALT 1. Was ist ASP/Software as a Service... 3 2. Was ist der Unterschied zu Cloud Computing?... 3 3. Vorteile von ASP/SaaS... 4 4. Sicherheit... 5 5. Technische

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN KeePass the free, open source, light-weight and easy-to-use password manager 19.01.2010 10:15-10:45 Uhr Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN Agenda Einführung Versionen Features Handhabung Mobile

Mehr