Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015

Größe: px
Ab Seite anzeigen:

Download "Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015"

Transkript

1 Sicherheit im Software Entwicklungsprozess ( Secure SDLC ) Matthias Rohr / Secodis GmbH / JAX 2015

2 Über mich Matthias Rohr Geschäftsführer der Secodis GmbH in Hamburg In der Applikationssicherheit seit 2004 aktiv Medien Inf. (FH), CISSP, CSSLP, CISM, CCSK Gründungsmitglied des deutschen OWASP Chapters und an zahlreichen OWASP Projekten beteiligt. 86 % Secodis GmbH Webanwendungen Gegründet 2013 am Standort Hamburg Schwerpunkt: Nachhaltige Verankerung von Sicherheit im Software Entwicklungsprozess Produktunabhängig, jedoch enger technischer Austausch mit diversen Herstellern (u.a. HP, Checkmarx, Veracode) 14 % Infrastruktur 2

3 Motivation (1) Sicherheit als Querschnittsthema 1) Sicherheit erst spät im Entwicklungsprozess zu adressieren ist teuer.. und wird dadurch gerne auf das Notwendigste reduziert. 2) Späte Testmethodiken (z.b. Pentests) sind oftmals nur bedingt geeignet, um Fehler in frühen Phasen überhaupt zu identifizieren. Sicherheit ist ein Querschnittsthema, welches in allen Phasen der Entwicklung durch angemessene Maßnahmen adressiert werden muss! 3

4 Motivation (2) Nachhaltigkeit & Angemessenheit Ansätze mit der Sicherheit in der Webentwicklung adressiert werden: 86 % Webanwendungen 14 % Infrastruktur 4

5 Existierende Standards und Projekte Microsoft SDL / SDL for Agile: Cigital Touchpoints / Build Security In Initiative (US Homeland Security) ISO % Webanwendungen BSIMM (www.bsimm.com, Studie über 67 Unternehmen) OpenSAMM (www.opensamm.org, Best Practices der OWASP): 14 % Infrastruktur Prozesse Organisation 5

6 BSIMM Core Activities 14 % Infrastruktur 86 % Webanwendungen 6

7 Elemente organisatorischer Anwendungssicherheit Organisation Rollen / Zuständigkeiten Prozesse / Abnahmen Budget / Planung Einbindung / Ownershaft Technologien Tools / Sec. Monitoring Secure Defaults / APIs Secure Ecosystem (Dev Env) Einbindung/ Ownershaft Aufbau von Know How Secodis GmbH Vorgaben Qualifikation Security Standards Secure Coding Guidelines Zulieferervorgaben Aufbau von Know How Schulungen / Awareness Coaching Wikis / Doku 7

8 3. Organisation / Prozesse

9 Probleme klassischer Sicherheitsmaßnahmen in einer agilen Welt Klassisches Vorgehen Agile Entwicklung DEVOps Release-Zyklen Monate / Jahre Wochen Stunden Externe Sicherheitsmaßnahmen Interne Sicherheitsmaßnahmen Innerhalb von Releases Außerhalb von Releases Innerhalb von Releases Außerhalb von Releases Sicherheitskonzepte, Pentests, Sec. Code Reviews Fehlendes Know How???? Sicherheitskonzepte, Pentests, Sec. Code Reviews???????????? Kurze Release Zyklen 9

10 Security Gates (SG) Variante des Quality Gates, durch welche flexible Sicherheitskontrollpunkte an bestimmten Stellen des Entwicklungsprozesses etabliert. Verschiedene Formen, z.b.: Statement: Projekt/Team dokumentiert bestimmte Sicherheitsanforderungen. Review: Durchführung festgelegter Sicherheitsprüfungen (auch innerhalb des Teams). Sign Off (Abnahme): Nächster Prozessschritt nur mit formeller Freigabe durch autorisierte Stelle (z.b. IT Sicherheit). Security Gates können optional oder verpflichtend sein und unterschiedliche Inhalte besitzen (z.b. in Abhängigkeit vom Schutzbedarf) 10

11 Wichtige Security Gates SG1: Initiales Security Gate Festlegung welche Maßnahmen umzusetzen und welche Gates mit welchen Prüfungen zu durchlaufen sind. Bei Changes: Bewerten ob Change sicherheitsrelevant und ggf. Einbinden der Sicherheit (siehe später). SG1 SG2: Abnahme des technischen Designs Abnahme von z.b. Sicherheitsarchitektur oder Sicherheitskonzept SG3 SG2 SG3: Finale Sicherheitsabnahme (FSB) Prüfung ob in SG1 festgelegte Maßnahmen umgesetzt wurden. Prüfung der Ergebnisse ggf. durchgeführter Sicherheitstests (z.b. Pentests). Bewertung von offenen Sicherheitsproblemen. 11

12 Security Change Management Arten von Changes Typ 1: Nicht Sicherheitsrelevant Basis: Security Indikator (Prüfung in SG1) Beispiel: Änderungen der Font Größe Keine Sicherheitsmaßnahmen / Security Gates / Tests erforderlich (=> kein SG2 oder SG3) Typ 2: Potentiell oder bestimmt Sicherheitsrelevant Basis: Security Indikator (Prüfung in SG1) Change wird als sicherheitsrelevant geflaggt Bei externen Anwendungen: Dedizierter Sicherheitstests der konkreten Änderung. IT Sicherheit wird eingebunden und ggf. weitere Maßnahmen abgestimmt. Typ 3: Änderungen an Sicherheitsfunktionen Werden nur im Rahmen eines Security Changes geändert und erfordern explizite Freigaben und Planung Sollten nicht in jedem Sprint durchgeführt werden Entwicklung über separaten Release Prozess möglich. Beispiel für Security Indikator Änderungen an (externen) Schnittstellen oder Änderungen bzgl. Der Verarbeitung vertraulicher Daten (Logging, Validierung, etc.) oder Änderungen an Rollen oder Berechtigungen oder Es liegen sonstige Sicherheitsbedenken vor. 12

13 Maßnahmen für Agile Sicherheit (Auswahl) Automatisierung (Tools, Integ. in Jenkins etc.) Sichere Standards (Secure Defaults) Security Change Management Mehrschichtige Sicherheit Peer (Security) Reviews Bucket / Every Sprint Requirements Security User Stories / Tasks Tagging von Sec Related Stories / Tasks Planung & Eigenverantwortung im Team! Sprint Planning Meeting Update product backlog Sprint retrospective SCRUM PROCESS Daily Cycle Sprint review Product Increment 13

14 Security Champions Lokale Zuständigkeit für Applikationssicherheit Rolle (z.b. Entwickler), welche: Ansprechpartner innerhalb des Teams und zur IT Sicherheit für Sicherheitsthemen ist als interner Multiplikator dient, aktuelle Sicherheitsvorgaben kennt, Sicherheitstools bedient kann, Interne Sicherheitsmaßnahmen koordiniert und sich auf dem Laufenden im Hinblick auf Sicherheitsthemen hält. Häufiges Modell: Pro Team / Projekt ist ein Security Champion zu bestimmen. 14

15 Software Security Groups (SSGs)» Interne Arbeitsgruppe / Community welche die Verbesserung der SW-Sicherheit in der Organisation zum Auftrag hat «Aufgaben: Diskussion und Verabschieden von Maßnahmen/Vorgaben (z.b. in Form von Standards), Tools und aktueller Risiken Dokumentation / Wiki Organisation von Awareness Maßnahmen Mitglieder (ständige & fallbezogene), z.b.: IT Sicherheits Management (Lead )Entwickler Security Champions Security Tester / QA Operations (optional) All 67 firms agree that the success of their program hinges on having an internal group devoted to software security the SSG. SSG size on average is people (BSIMM V) 15

16 Security Tests Ziel: Langfristig Sicherheitstests zumindest teilweise auch innerhalb der Organisation durchzuführen Schritt 0: Externe Pentests Große Abhängig vom Tester, Ergebnis: PDF Berichte, sehr eingeschränkte Nachhaltigkeit Schritt 1: Verbesserung der Qualität externer Pentests Risiko basiertes Testen, CVSS Scorings, Security Bug Bars, Security Testfallkatalog, etc. Schritt 2: Internes Security Testing (z.b. durch Qualitätssicherung) Beispiel 1: Reflected XSS: ><script>alert(0)</script> Beispiel 2: Horizontale Priv. Erweiterung: Zugriff auf Objekt IDs (z.b.?obj=1234) mit unterschiedlichen Rollen testen Security Peer Reviews (z.b. per gerrit, Crucible) Automatisierte Tests durch Tools (später mehr) 16

17 1. Vorgaben

18 Die Elfenbeinturm-Problematik IS Policys (ISMS) POLICYS High Level Vorgaben Techn und Implement Unspezifisich? Application Security Standards Entwicklungs Richtlinien / Coding Guidelines ENTW. RICHTLINIEN Häufig Vermengung von Anforderungen auf unterschiedlichen Ebenen 18

19 Die Lösung der Elfenbeinturm-Problematik IS Policys (ISMS) POLICYS High Level Vorgaben Techn. und Implement Unspezifisich Application Security Standards STANDARDS Verpflichtend Techn. Spezifisch (z.b. Web) Implement Unspezifisch Secure Coding Secure Coding Guidelines Guidelines GUIDELINES Empfehlungen Techn. Spezifisch (z.b. Web) Implementierungs Spezifisch (z.b. Java) 19

20 (Web-)AppSec-Standard: TSS-WEB» Vorlage für einen technisch organisatorischen Sicherheitsstandard für Webanwendungen «Enthält exemplarische Vorgaben für u.a.: Sicherheit im Entwicklungsprozess Implementierung (Validierung, Auth, etc.) Betrieb / Härtung der Plattform HTTP Security Header Software Zulieferer Sicherheit von Programmcode Sicherheitstests 20

21 (Agile) Secure Coding Guidelines Coding Guidelines dienen dazu die Vorgaben aus dem Standard für die Entwickler zu konkretisieren. Besser als statische Dokumente sind hierfür Wikis (z.b. Confluence, Mediawiki) geeignet: Zusätzlich wichtig: Secure Defaults! 21

22 2. Technologien

23 Secure Defaults (Sichere Standards) Sichere Standards (inkl. Einstellungen) sind entscheidend bei Agiler Sicherheit! Technologie Entscheidungen können große Auswirkung auf die Sicherheit haben (insb. bei Webframeworks, Security APIs) Erweiterung vorhandener Frameworks um Security Funktionen / Ref Apps. Beispiele: 1. Whitelisting (explizites Erlauben) statt Blacklisting (explizites Verbieten) 2. Sichere Krypto Standards und einfache APIs (z.b. encrypt(string), z.b. mit keyczar 3. Default Deny Prinzip: Zugriffe werden standardmäßig unterbunden und müssen explizit freigeschaltet werden 4. Minimierung der Angriffsfläche: Was nicht benötigt wird, wird abgeschaltet (Funktionen, Schnittstellen, Dienste, Parameter, etc.): 5. Implizite Enkodierung der Ausgaben durch das Framework (z.b. bei GWT), Alternativ Vorschlag für DevOPS: HTML Enkodierung aller Eingaben. 23

24 SAST vs. DAST Tools Schwachstellen in der laufenden Anwendung Manuell: Pentest Autom: Dynamic App. Security Testing (DAST) Schwachstellen auf Codeebene Manuell: Security Code Review Autom: Static App. Security Testing (SAST) Session Mgmt / CSRF, Unsichere Einbindung, Logikfehler, Anti Automatisierung, Race Conditions Buffer Overflows Backdoors, Unsichere APIs, Anbindung Backend, XSS, SQL Injection, Datenval. allg. Authentifizierung, Zugriffsschutz, Kryptographie, Information Leakage, Fehlerbehandlung, Konfiguration, 24

25 SAST (Code Security Scanner) Tools meist kommerziell: u.a. HP Fortify ( ), Checkmarx ( ), Veracode ( ), IBM AppScan SE ( ) und mit teilweise sehr unterschiedlicher Eignung! Häufiges Problem ist die Tool Ownershaft => auch deshalb wichtig innerhalb der Entwicklung zu positionieren. Beispiel Integration in Eclipse (Fortify): 25

26 SAST Integration in Build Beispiel für Integration: Abbruch von Release Build bei neuen High Findings. Build Server (Jenkings, Hudson, Bamboo) Automatischer Scan Lokaler Scan Server / Cloud Service Review Entwickler QA / Security Dashboard Integration 26

27 DAST (Web Security Scanner) Das Ownership-Problem Kommerziell (u.a.) IBM AppScan ( ), HP WebInspect ( ), Accunetix ( ) Burp ( ) Kostenfrei (u.a.): skipfish, w3af, OWASP ZAP: Probleme: (1) Generell schwer zu automatisieren, (2) Einsatz erfordert Security Know How (in QS selten vorhanden) 27

28 IAST - Security Analyse auch ohne Security Experten Analyse der Anwendung durch Agenten auf Application Server Statt Sicherheitstests reichen hierfür in der Regel fachliche Tests oder reines Crawlen der Anwendung aus (=> kaum Security Know How erforderlich) Tools (u.a.): Seeker ( ) und Contrast ( ): 28

29 Weitere Tools Auch einfache Tests können jedoch sehr effektiv sein Security Test Cases (Reflected XSS), Priviligierungstests, Security Header Blacklisting von unsicheren APIs/Imports (Code Firewall) am SVS/Git Retire JS, OWASP Dependency Checker: Identifikation von unsicheren OpenSource Libs via Maven/Jenkins (kostenfrei) 29

30 Application Security Program (ASP)

31 Exemplarische Roadmap Phase 1: Voranalyse, Planung und einfache Maßnahmen (3 6 Monate) Ist Analyse: Identifikation des Sicherheitsniveaus / Reifegrads durch Pentests, Risikoanalysen, GAP Analyse gegen OpenSAMM / BSIMM Beheben bekannter Sicherheitsprobleme und Low Hanging Fruits (Awareness) Workshops Identifikation der Stakeholder, des Zielreifegrades & Erstellung der Initial Planung Gewinnen eines Sponsers und Budgetierung der nächsten Phasen Phase 2: Erste Stufe der Integration (9 12 Monate) Aufsetzen der SSGs Pilotierung und Einführung von Security Tools Umsetzung von Standards und Guidelines Pilotierung / Etablierung von SG1 + SG3 Aufbau eines Qualifikationsprogrammes / Durchführung von Schulungen / Coachings Phase 3: Zweite Stufe der Integration (12 18 Monate) Umbau der Organisation / Etablierung von Rollen / Zuständigkeiten Integration von Security Tools in Prozesse Aufbau von internem Security Testing Interne Zuständigkeiten und Gremien für Applikationssicherheit Anpassungen und laufende Überarbeitung 31

32 Zum Schluss, ein paar wichtige Gedanken Wenn Du ein Schiff bauen willst, dann trommle nicht Männer zusammen um Holz zu beschaffen, Aufgaben zu vergeben und die Arbeit einzuteilen, sondern lehre die Männer die Sehnsucht nach dem weiten, endlosen Meer. Antoine de Saint Exupery Ein Ding ist dann wichtig, wenn irgend jemand denkt, dass es wichtig ist. William James 32

33 Vielen Dank! Fragen? Folien: Matthias Rohr 0151 /

Matthias Rohr 20. März 2014. Tool basierte Web Security

Matthias Rohr 20. März 2014. Tool basierte Web Security Matthias Rohr 20. März 2014 Tool basierte Web Security About Me Matthias Rohr CISSP, CSSLP, CISM, CCSK Application Security seit knapp 10 Jahren Autor sowie Berater und Geschäftsführer bei der Secodis

Mehr

Absicherung von Webanwendungen. DFN-Cert - 60. Betriebstagung

Absicherung von Webanwendungen. DFN-Cert - 60. Betriebstagung Absicherung von Webanwendungen DFN-Cert - 60. Betriebstagung Matthias Rohr 11. März 2014 Wer bin ich? Matthias Rohr CISSP, CSSLP, CISM, CSSLP Autor sowie Berater und Geschäftsführer bei der Secodis GmbH

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

mimacom path Ihr Nutzen www.mimacom.com

mimacom path Ihr Nutzen www.mimacom.com ist ein Lösungspaket, mit dem sich das ganze Application Lifecycle Management abdecken lässt: Vom Requirements Engineering über die agile Abwicklung von Projekten bis hin zum Service Management. Der ganzheitliche

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

Praxisbericht und Demo-Projektabwicklung mit der ATLASSIAN Toolchain und Continuous Integration. Markus Stollenwerk, Noser Engineering AG

Praxisbericht und Demo-Projektabwicklung mit der ATLASSIAN Toolchain und Continuous Integration. Markus Stollenwerk, Noser Engineering AG Praxisbericht und Demo-Projektabwicklung mit der ATLASSIAN Toolchain und Continuous Integration Markus Stollenwerk, Noser Engineering AG Agile Softwareentwicklung Crash-Kurs Markus Stollenwerk, 27.9.2013

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

mimacom path Ihr Nutzen www.mimacom.com

mimacom path Ihr Nutzen www.mimacom.com ist ein Lösungspaket, mit dem sich das ganze Application Lifecycle Management abdecken lässt: Vom Requirements Engineering über die agile Abwicklung von Projekten bis hin zum Service Management. Der ganzheitliche

Mehr

CONTINUOUS DELIVERY. Entmystifiziert. codecentric AG

CONTINUOUS DELIVERY. Entmystifiziert. codecentric AG CONTINUOUS DELIVERY Entmystifiziert WIE SOFTWARE LIEFERN? 01.07.2014 2 WAS IST CONTINUOUS DELIVERY? Robust Wiederholbar Effektiv 01.07.2014 3 LANDSCHAFTEN Continuous Integration Public / Private Hybrid

Mehr

Einführung in das Scrum Framework & welche 10 Praktiken helfen, Scrum wirklich gut zu machen

Einführung in das Scrum Framework & welche 10 Praktiken helfen, Scrum wirklich gut zu machen Einführung in das Scrum Framework & welche 10 Praktiken helfen, Scrum wirklich gut zu machen Wer bin ich Kurse und Vorträge mit Jeff Sutherland und Ken Schwaber Verschiedene Kurse der Scrum.org Professional

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

>EasyMain Die Nutzung von Methoden, Prozessen und Standards im Rahmen eines Application Lifecycle Managements

>EasyMain Die Nutzung von Methoden, Prozessen und Standards im Rahmen eines Application Lifecycle Managements >EasyMain Die Nutzung von Methoden, Prozessen und Standards im Rahmen eines Application Lifecycle Managements 6. Januar 2014 >Agenda Motivation EasyMain Methoden, Standards und Prozesse bei EasyMain Folie

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Software-Dokumentation im agilen Umfeld. Marion Bröer, parson communication

Software-Dokumentation im agilen Umfeld. Marion Bröer, parson communication Software-Dokumentation im agilen Umfeld Marion Bröer, parson communication parson communication Software- und Prozessdokumentation Wissensmanagement Wikis und XML-basierte Dokumentation Schulungen und

Mehr

Agile Methoden bei der Entwicklung medizinischer Software

Agile Methoden bei der Entwicklung medizinischer Software Agile Methoden bei der Entwicklung medizinischer Software Bernhard Fischer Fischer Consulting GmbH Fischer Consulting GmbH Technologie-Forum 2008 Folie 1 Wie soll Software entwickelt werden? Fischer Consulting

Mehr

Bekannte Tools in einem agilen Ansatz. Frank Schwichtenberg SourceTalkTage 2013 Göttingen, 2.10.2013

Bekannte Tools in einem agilen Ansatz. Frank Schwichtenberg SourceTalkTage 2013 Göttingen, 2.10.2013 Bekannte Tools in einem agilen Ansatz Frank Schwichtenberg SourceTalkTage 2013 Göttingen, 2.10.2013 Vorher Lange Planungszeiten und Releasezyklen Manche Features brauchten lange und wurden nicht gebraucht

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News

Mehr

Von 0 auf 13 oder mit Vollgas ins agile Zeitalter

Von 0 auf 13 oder mit Vollgas ins agile Zeitalter Von 0 auf 13 oder mit Vollgas ins agile Zeitalter Silvio Simone, Bison Group Susanne Mühlbauer, HOOD GmbH Scrum Day 2012 Bison Schweiz AG Surentalstrasse 10 CH-6210 Sursee www.bison-group.com HOOD GmbH

Mehr

Inhaltsverzeichnis 1 Einleitung

Inhaltsverzeichnis 1 Einleitung Inhaltsverzeichnis 1 Einleitung....................................................... 1 1.1 Zum Begriff Webanwendung.................................. 1 1.2 Warum sind Webanwendungen unsicher?..........................

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Navi & seitenzahl. Ein Toolset für agile Entwicklungsprojekte

Navi & seitenzahl. Ein Toolset für agile Entwicklungsprojekte Navi & seitenzahl Ein Toolset für agile Entwicklungsprojekte Warum Agil? Noch andere Gründe? Aktive Integration der Anwender Integration des Kunden Rückfragen, Priorisierungen Geschmack kommt beim Essen

Mehr

SCRUM. Scrum in der Software Entwicklung. von Ernst Fastl

SCRUM. Scrum in der Software Entwicklung. von Ernst Fastl SCRUM Scrum in der Software Entwicklung von Ernst Fastl Agenda 1. Die Entstehung von Scrum 2. Überblick über den Prozess 3. Rollen 4. Meetings 5. Artefakte 6. Fragen & Antworten Agenda 1. Die Entstehung

Mehr

Mobile Backend in der

Mobile Backend in der Mobile Backend in der Cloud Azure Mobile Services / Websites / Active Directory / Kontext Auth Back-Office Mobile Users Push Data Website DevOps Social Networks Logic Others TFS online Windows Azure Mobile

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

SCRUM. Legalisierung der Hackerei? GI Regionalgruppe Dortmund 07.12.2009 Dipl.-Inform. (FH) Dirk Prüter. Dirk.Prueter@gmx.de

SCRUM. Legalisierung der Hackerei? GI Regionalgruppe Dortmund 07.12.2009 Dipl.-Inform. (FH) Dirk Prüter. Dirk.Prueter@gmx.de SCRUM Legalisierung der Hackerei? GI Regionalgruppe Dortmund 07.12.2009 Dipl.-Inform. (FH) Dirk Prüter Dirk.Prueter@gmx.de Überblick Was ist SCRUM Wie funktioniert SCRUM Warum lohnt es sich, SCRUM anzuwenden

Mehr

Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie

Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie Gerald Heller Agenda Standortbestimmung ALM Typischer industrieller Setup und Probleme Vorstellung von QualityCenter als ALM tool

Mehr

Mobile Backend in. Cloud. Azure Mobile Services / Websites / Active Directory /

Mobile Backend in. Cloud. Azure Mobile Services / Websites / Active Directory / Mobile Backend in Cloud Azure Mobile Services / Websites / Active Directory / Einführung Wachstum / Marktanalyse Quelle: Gartner 2012 2500 Mobile Internet Benutzer Desktop Internet Benutzer Internet Benutzer

Mehr

ISO 13485 konforme Entwicklung medizinischer Software mit agilen Vorgehensmodellen

ISO 13485 konforme Entwicklung medizinischer Software mit agilen Vorgehensmodellen ISO 13485 konforme Entwicklung medizinischer Software mit agilen Vorgehensmodellen Bernhard Fischer Fischer Consulting GmbH MedConf 2009 Folie 1 Wie soll Software entwickelt werden? MedConf 2009 Folie

Mehr

Was ist bei der Entwicklung sicherer Apps zu beachten?

Was ist bei der Entwicklung sicherer Apps zu beachten? Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer Markus Urban.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform

Mehr

Absicherung von Webanwendungen

Absicherung von Webanwendungen Absicherung von Webanwendungen JAX 2014 - Security Day - 15. Mai 2014 Matthias Rohr m.rohr@secodis.com Matthias Rohr Dipl-Medieninf. (FH), CISSP, CSSLP, CISM, CCSK > 10 Jahre Applikationssicherheit & Webentwicklung

Mehr

Oktober 2014 PRODUKTENTWICKLUNG. Dr. Ralf Lauterbach

Oktober 2014 PRODUKTENTWICKLUNG. Dr. Ralf Lauterbach PRODUKTENTWICKLUNG Dr. Ralf Lauterbach Produktentwicklung digitaler Produkte - was ist zu tun? - Generelle Aufgaben bei jeder digitalen Produktentwicklung Produktmanagement Marktanalysen Markteingangsstrategie

Mehr

End-to-End Agility Sind Sie schon agil genug? Mag. Christoph Leithner c.leithner@celix.at

End-to-End Agility Sind Sie schon agil genug? Mag. Christoph Leithner c.leithner@celix.at End-to-End Agility Sind Sie schon agil genug? Mag. Christoph Leithner c.leithner@celix.at www.celix.at September 2015 celix Solutions GmbH Spezialist für Team Collaboration und IT Prozess Management Agile

Mehr

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Vorstellung Markus Wutzke Senior Consultant Secaron AG Certified Secure Software Lifecycle Professional (CSSLP

Mehr

ALM mit Visual Studio Online. Philip Gossweiler Noser Engineering AG

ALM mit Visual Studio Online. Philip Gossweiler Noser Engineering AG ALM mit Visual Studio Online Philip Gossweiler Noser Engineering AG Was ist Visual Studio Online? Visual Studio Online hiess bis November 2013 Team Foundation Service Kernstück von Visual Studio Online

Mehr

Agiles Projektmanagement - auch geeignet für Nicht-IT-Projekte? PMI Prof. Dr.-Ing. Holger Günzel 14.09.2012

Agiles Projektmanagement - auch geeignet für Nicht-IT-Projekte? PMI Prof. Dr.-Ing. Holger Günzel 14.09.2012 Agiles Projektmanagement - auch geeignet für Nicht-IT-Projekte? PMI Prof. Dr.-Ing. Holger Günzel Verglühte die Raumfähre Columbia durch einen unflexiblen Projektmanagementprozess? Rückblick: 2003 verglühte

Mehr

OWASP German Chapter. Chapter Meeting 17.05.2013

OWASP German Chapter. Chapter Meeting 17.05.2013 The OWASP Foundation http://www.owasp.org OWASP German Chapter Chapter Meeting 17.05.2013 Tobias Glemser tobias.glemser@owasp.org Was ist OWASP? Was ist OWASP? Fear, Uncertainty and Doubt (FUD) Angstkultur

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Webanwendungssicherheit Webanwendungssicherheit und Penetrationstests Webanwendungssicherheit-Workshop Sichere Webanwendungen in der öffentlichen Verwaltung

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

TFS als ALM Software. Erfahrungsbericht aus der MedTec Ecke. Lukas Müller

TFS als ALM Software. Erfahrungsbericht aus der MedTec Ecke. Lukas Müller TFS als ALM Software Erfahrungsbericht aus der MedTec Ecke Lukas Müller Agenda Tecan Umfeld und Prozesse Einsatzgebiet TFS Tecan Erweiterungen von TFS Erfahrungsaustausch Head Office in der Schweiz, >1100

Mehr

Automatische Erkennung von Cross-Site Scripting Schwachstellen zweiter Ordnung

Automatische Erkennung von Cross-Site Scripting Schwachstellen zweiter Ordnung Automatische Erkennung von Cross-Site Scripting Schwachstellen zweiter Ordnung Christian Korscheck christian@korscheck.de Betreuer: Prof. Thomas Walter (Uni Tübingen) Dr. Pavel Laskov (Uni Tübingen) Dirk

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Scrum technische Umsetzung und kaufmännische Rahmenbedingungen

Scrum technische Umsetzung und kaufmännische Rahmenbedingungen Scrum technische Umsetzung und kaufmännische 9. Darmstädter Informationsrechtstag 2013 Darmstadt, 15. November 2013 Franziska Bierer 2 andrena ojects ag Gründung 1995 Standorte in Karlsruhe und Frankfurt

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011 No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen Hamburg, 27.09.2011 Ausgangssituation Webanwendungen sind aus unserem heutigen Leben nicht mehr

Mehr

Sichere Webportale. Wie stell ich's an?

Sichere Webportale. Wie stell ich's an? Sichere Webportale Wie stell ich's an? Inhalt 1. Stereotyp: Worst Practice > Die drei Dilemmas 2. Software-Sicherheit > Best Practice 3. Audit > Status Tools Disclaimer / Ernüchterung 1. 40 Minuten sind

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

TFS Customzing. in der Praxis. Thomas Gugler. seit 2005 bei ANECON. .NET seit 2002 (happy bday!) Schwerpunkte: MCPD.Net 4.0, MCTS TFS, Scrum Master,

TFS Customzing. in der Praxis. Thomas Gugler. seit 2005 bei ANECON. .NET seit 2002 (happy bday!) Schwerpunkte: MCPD.Net 4.0, MCTS TFS, Scrum Master, TFS Customzing in der Praxis Thomas Gugler ANECON Software Design und Beratung G.m.b.H. Alser Str. 4/Hof 1 A-1090 Wien Tel.: +43 1 409 58 90 www.anecon.com office@anecon.com Thomas Gugler seit 2005 bei

Mehr

Transparenz optimieren durch Managed Services. Dr. Armin Metzger, sepp.med gmbh MID Insight, Nürnberg 2012-11-20

Transparenz optimieren durch Managed Services. Dr. Armin Metzger, sepp.med gmbh MID Insight, Nürnberg 2012-11-20 Transparenz optimieren durch Managed Services Dr. Armin Metzger, sepp.med gmbh MID Insight, Nürnberg 2012-11-20 Inhalt Managed Services was ist das? Motivation und Benefits von Managed Services Parameter

Mehr

SICHERHEIT FÜR IHR BUSINESS

SICHERHEIT FÜR IHR BUSINESS IT MIT VOQUZ IST: SICHERHEIT FÜR IHR BUSINESS WEITER, IMMER WEITER. SO GEHT IT-SECURITY. Die andere Seite wird immer besser, also müssen wir es auch werden, um unseren Vorsprung zu halten. Dass Sicherheitsmaßnahmen

Mehr

Release Management und Automatisierung in der Praxis

Release Management und Automatisierung in der Praxis Release Management und Automatisierung in der Praxis Jürgen Decker, 15.06.2012 Director Business Development Warum Application Release Management? + Zunehmende Komplexität von Anwendungen und Infrastruktur

Mehr

AGILES QUALITÄTSMANAGEMENT

AGILES QUALITÄTSMANAGEMENT AGILES QUALITÄTSMANAGEMENT Manfred Rätzmann Head of Department Quality Assurance Deutsche Post E-Post Development GmbH Manfred.Raetzmann@epost-dev.de http://www.epost.de/ Klassische Ziele des Qualitätsmanagements:

Mehr

Werkzeuge für effizientes Wissensmanagement. Agenda. Vorstellung. ! Kurzvorstellung itemis AG. ! Werkzeuge für effizientes Wissensmanagement

Werkzeuge für effizientes Wissensmanagement. Agenda. Vorstellung. ! Kurzvorstellung itemis AG. ! Werkzeuge für effizientes Wissensmanagement Werkzeuge für effizientes Wissensmanagement Dipl. Inf. Sebastian Neus (Mitglied des Vorstands) Bielefeld, 15.10.2013 Vorstellung! Studium Wirtschafts-Informatik, Essen/Dortmund (Diplom Informatiker)! IT

Mehr

Effiziente Steuerung von BI-Projekten - Agiles Projektmanagement vs. klassische Vorgehensmodelle. Windhoff Software Services GmbH www.wind-soft.

Effiziente Steuerung von BI-Projekten - Agiles Projektmanagement vs. klassische Vorgehensmodelle. Windhoff Software Services GmbH www.wind-soft. Effiziente Steuerung von BI-Projekten - Agiles Projektmanagement vs. klassische Vorgehensmodelle Folie 2 Agenda Projektmanagement: Ziele und Methoden Agile Methoden: Scrum Agile Methoden im BI Umfeld PM

Mehr

Teil- und Vollautomatisierung von Standard Changes mittels Service Katalog und Workflow Engine. Matthias Federmann Continental AG

Teil- und Vollautomatisierung von Standard Changes mittels Service Katalog und Workflow Engine. Matthias Federmann Continental AG Teil- und Vollautomatisierung von Standard Changes mittels Service Katalog und Workflow Engine Matthias Federmann Continental AG Zur Person Name: Matthias Federmann Wohnort: Regensburg Ausbildung: Berufseinstieg:

Mehr

SICHERHEIT FÜR IHR BUSINESS

SICHERHEIT FÜR IHR BUSINESS IT MIT VOQUZ IST: SICHERHEIT FÜR IHR BUSINESS WEITER, IMMER WEITER. SO GEHT IT-SECURITY. WIR SEHEN DAS GANZE Die andere Seite wird immer besser, also müssen wir es auch werden, um unseren Vorsprung zu

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES 2 59 markets and 36 languages 76 markets and 48 languages 200+ CLOUD SERVICES Informations-Sicherheit Risiken kennen Informations-Sicherheit ist eine Risiko-Management Disziplin des Geschäftsbereich und

Mehr

Iterativ. Inkrementell

Iterativ. Inkrementell Iterativ Inkrementell Build Release Test Qualität Architektur & Documentation Distributed Version Control Continuous Integration TDD Design Agile Architektur Dependency Feature Branches Mocks

Mehr

Wir erledigen alles sofort. Warum Qualität, Risikomanagement, Gebrauchstauglichkeit und Dokumentation nach jeder Iteration fertig sind.

Wir erledigen alles sofort. Warum Qualität, Risikomanagement, Gebrauchstauglichkeit und Dokumentation nach jeder Iteration fertig sind. Wir erledigen alles sofort Warum Qualität, Risikomanagement, Gebrauchstauglichkeit und Dokumentation nach jeder Iteration fertig sind. agilecoach.de Marc Bless Agiler Coach agilecoach.de Frage Wer hat

Mehr

Collaboration Agile Softwareentwicklung in verteilten Teams. Wolfgang Kraus www.sourceconomy.com 26.11.2009

Collaboration Agile Softwareentwicklung in verteilten Teams. Wolfgang Kraus www.sourceconomy.com 26.11.2009 Collaboration Agile Softwareentwicklung in verteilten Teams Wolfgang Kraus www.sourceconomy.com 26.11.2009 Preis Werkzeuge Herausforderungen verteilt Team Motive Ressourcenmangel agil Patterns Success

Mehr

Testmanagement im agilen Entwicklungsprozess

Testmanagement im agilen Entwicklungsprozess Testmanagement im agilen Entwicklungsprozess Unser Beratungsangebot für die effiziente Abwicklung von Projekten: n Anforderungen erkennen n Software-Qualität steigern n Teams zum Erfolg führen Unser Erfolgskonzept:

Mehr

Chancen und Risiken bei der Einführung von Informationsmanagement-Plattformen

Chancen und Risiken bei der Einführung von Informationsmanagement-Plattformen Chancen und Risiken bei der Einführung von Informationsmanagement-Plattformen Dos und Don ts bei der Einführung von Enterprise 2.0 & bei der Projektorganisation Inhalt 1. Ausgangslage 2. Aufgaben und Vorgehen

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Softwareentwicklung bei eevolution

Softwareentwicklung bei eevolution Softwareentwicklung bei eevolution Darstellung der Prozesse mit dem agilen Entwicklungsansatz Jan Freitag, COMPRA GmbH Jan Freitag Studium: IMIT Bachelor: 2005-2008 IMIT Master: 2008-2010 eevolution: Mitarbeit

Mehr

Trends in der Softwaredokumentation

Trends in der Softwaredokumentation Trends in der Softwaredokumentation Prof. Sissi Closs Montag,, 11. Oktober 2010 Community, Connectivity, Collaboration NextGen Softwaredoku Training 1. Software wird immer flexibler. 2. GUI Bedienung braucht

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

AGILER TESTMANAGER EIN OXYMORON?

AGILER TESTMANAGER EIN OXYMORON? AGILR ANAGR IN OXYMORON? Kay.Grebenstein@saxsys.de AGILR ANAGR IN OXYMORON? Benötigen wir mit Scrum noch die Rolle estmanager? 1 AGILR ANAGR IN OXYMORON? Aufgaben SCRUM AUFGABN Strategische bene (Qualitätsmanager)

Mehr

Comparing Software Factories and Software Product Lines

Comparing Software Factories and Software Product Lines Comparing Software Factories and Software Product Lines Martin Kleine kleine.martin@gmx.de Betreuer: Andreas Wuebbeke Agenda Motivation Zentrale Konzepte Software Produktlinien Software Factories Vergleich

Mehr

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Best Practice Standardportal Bundesministerium für Inneres und Land-, forst- und wasserwirtschaftliches Rechenzentrum

Mehr

Ein agiles Vorgehensmodell für Bankprojekte. Franz Hofer Group and Austrian IT Software Engineering

Ein agiles Vorgehensmodell für Bankprojekte. Franz Hofer Group and Austrian IT Software Engineering Ein agiles Vorgehensmodell für Bankprojekte Franz Hofer Group and Austrian IT Software Engineering Raiffeisen Bank International An overview Albania Ukraine Poland Bosnien und Herzegowina Slovakia Romania

Mehr

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Social Media als Hilfsmittel für agile Projekt-Teams

Social Media als Hilfsmittel für agile Projekt-Teams Social Media als Hilfsmittel für agile Projekt-Teams 14. Sept. 2010, Zürich Dr. Hans-Peter Korn www.korn.ch "Agiles" Management: Wozu? Resultat > Konzept / Plan Planen - Reisen - Ankommen voraussehbar,

Mehr

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse

Mehr

Susanne Muehlbauer 29. November 2011

Susanne Muehlbauer 29. November 2011 Machen Sie noch Modellierung Anforderungsmanagement oder sind Sie schon READY for SCRUM? Susanne Muehlbauer 29. Wer ist HOOD unser Geschäftsfeld Der Einsatz von Requirements Engineering und kontinuierliche

Mehr

SCRUM bei SIX Card Solutions

SCRUM bei SIX Card Solutions SCRUM bei SIX Card Solutions Bestandsaufnahme, Rückblick und Zukunft eines Scrum Projekts Christoph Loher (Christoph.Loher@six-group.com) Stefan Kinigadner (Stefan.Kinigadner@bsgroup.ch) 7. April 2010

Mehr

Erfolgreicher Ums9eg auf Git

Erfolgreicher Ums9eg auf Git CONCEPT PEOPLE IT- TALK Ein Erfahrungsbericht Erfolgreicher Ums9eg auf Git René Preißel (etosquare) Nils Hartmann (Techniker Krankenkasse) VORSTELLUNG René Preißel Freiberuflicher SoGwarearchitekt, Entwickler

Mehr

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer Leitfaden zur Entwicklung sicherer Webanwendungen Empfehlungen und Anforderungen an die Auftragnehmer SEC Consult Deutschland Unternehmensberatung GmbH Bockenheimer Landstraße 17/19 60325 Frankfurt/Main

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

27. März 2013. Einführung Requirements Engineering: Rückblick und Ausschau

27. März 2013. Einführung Requirements Engineering: Rückblick und Ausschau 27. März 2013 Lukas Müller 27.3.2013 27. März 2013, p 3 Schwerpunkte Umfeld Tecan Aufbau von Requirements Engineering Ausschau 27. März 2013, p 4 Umfeld Tecan 27. März 2013, p 5 Tecan Hauptsitz in Männedorf,

Mehr

Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance

Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance SWG Partner Academy Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance 3. Tag, Donnerstag den 09.10.2008 Michael Bleichert Rational Channel Manager Germany Michael.Bleichert@de.ibm.com

Mehr

Atlassian Git Essentials Nahtlose Entwicklungsworkflows aus einer Hand

Atlassian Git Essentials Nahtlose Entwicklungsworkflows aus einer Hand Nahtlose Entwicklungsworkflows aus einer Hand Version: 1.0 Orientation in Objects GmbH Weinheimer Str. 68 68309 Mannheim www.oio.de info@oio.de Java, XML und Open Source seit 1998 ) Software Factory )

Mehr

www.if-blueprint.de Neue Wege, Menschen im Unternehmen miteinander zu verbinden

www.if-blueprint.de Neue Wege, Menschen im Unternehmen miteinander zu verbinden www.if-blueprint.de Neue Wege, Menschen im Unternehmen miteinander zu verbinden BICCtalk, 20.09.2012 Andreas Essing IF-Blueprint AG Agenda Tools Methoden Menschen Werte Leitbild Strukturen Unternehmen

Mehr

Agiles Requirements Engineering mit Scrum. Rainer Fetscher Neuss, 16. November 2010

Agiles Requirements Engineering mit Scrum. Rainer Fetscher Neuss, 16. November 2010 Agiles Requirements Engineering mit Scrum Rainer Fetscher Neuss, 16. November 2010 1 Inhalt A. Vorstellung Creditreform B. Grundprinzipien in SCRUM C. IST-Stand D. Ausgangssituation E. Der Weg F. Fazit

Mehr

DevOps. Einführung und Umsetzung am Beispiel ProSiebenSat.1 und dm-drogerie markt. Alexander Pacnik Karlsruhe, 25.06.2015

DevOps. Einführung und Umsetzung am Beispiel ProSiebenSat.1 und dm-drogerie markt. Alexander Pacnik Karlsruhe, 25.06.2015 DevOps Einführung und Umsetzung am Beispiel ProSiebenSat.1 und dm-drogerie markt Alexander Pacnik Karlsruhe, 25.06.2015 Alexander Pacnik IT Engineering & Operations Project Management inovex GmbH Fabian

Mehr

Jörg Neumann Acando GmbH

Jörg Neumann Acando GmbH Jörg Neumann Acando GmbH Jörg Neumann Principal Consultant bei der Acando GmbH MVP Windows Platform Development Beratung, Training, Coaching Buchautor, Speaker Mail: Joerg.Neumann@Acando.com Blog: www.headwriteline.blogspot.com

Mehr

Taking RM Agile. Erfahrungen aus dem Übergang von traditioneller Entwicklung zu Scrum

Taking RM Agile. Erfahrungen aus dem Übergang von traditioneller Entwicklung zu Scrum Taking RM Agile CLICK TO EDIT MASTER OPTION 1 Erfahrungen aus dem Übergang von traditioneller Entwicklung zu Scrum Click to edit Master subtitle style Christian Christophoridis Requirements Management

Mehr

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1. Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de

Mehr

den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015

den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015 Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015 Über mich Berufliche Erfahrung 3 Jahre Projektabwicklung 2 Jahre

Mehr

Projektorganisation und Vorgehen in agilen Projekten. Noser Technologieimpulse München 2013 - Matthias Neubacher

Projektorganisation und Vorgehen in agilen Projekten. Noser Technologieimpulse München 2013 - Matthias Neubacher Projektorganisation und Vorgehen in agilen Projekten Noser Technologieimpulse München 2013 - Matthias Neubacher Ein wenig Theorie Agile Methoden Warum? hohe Anpassbarkeit schnellere Ergebnisse günstigere

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr