There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

Größe: px
Ab Seite anzeigen:

Download "There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann"

Transkript

1

2 There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann

3 Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application (Client) 40% Network Stack 1% Other 2% Comm. Protocol 2% Hardware 3% Operating System 15% Application (Server) 36% %

4 Webanwendungen: besonders gefährdet Web-Anwendungen sind bevorzugte Ziele für die Cybermafia Die Anzahl und die Aggressivität der Angriffe auf Anwendungen steigt stetig. Die Angreifer sind professionelle Verbrecher: Die Cybermafia. Web-Anwendungen sind beliebte Ziele, weil sie oft Schwächen vorweisen, die einfach auszunutzen sind % Sites

5 Sicherer Software Development Lifecycle Weg von Punktmaßnahmen hin zur strategische Planung Seit ca. 5 Jahren gibt es ein großes Interesse an den sicheren SDLC Leider sind Standards und (publizierte) Erfahrung noch Mangelware Viele offene Fragen, z.b: Welche Maßnahmen gehören dazu? Prozess- oder Maturity-Modell? Anwendbarkeit?

6 Die Historie des sicheren SDLCs Seit ca wird es versucht, ein passendes Modell zu finden Name Jahr Merkmale TSP-Secure? Fokus auf defect removal, eigenständige Teams CMMI 2002 CLASP 2005 Microsoft SDL (Prozess) 2004 Touchpoints 2006 OpenSAMM(Software Assurance Maturity Model) 2008 BSI-MM (Build Security In Maturity Model) 2009 Für allgemeine Entwicklung, kein Fokus auf Sicherheit, Reifegradmodell Lose Sammlungvon Prozesserweiterungen, Tools, Vulnerabilitykategorien etc. Prozess, sehr stark integriert, speziell auf Microsoftähnliche Organisationen angepasst Prozesserweiterungen ähnlich CLASPaber strukturierter Reifegradmodell, inkrementell, anpassbar, basiert auf Expertenmeinung, detailliert Reifegradmodell, inkrementell, anpassbar, basiert auf Studie, wenig Detail-Informationen

7 Prozess-vs. ReifegradModelle Nur ein Reifegradmodell kann erfolg haben Softwareentwicklung ist vielfältig und jedes Unternehmen hat seine eigene Prozesse und Verfahren dazu. Es ist prinzipiell nicht möglich, ein starres Prozessmodell für Sicherheit aufzuzwingen. Nur ein Reifegradmodell, welches auf eine höhere Ebene agiert, kann die Vielfalt und die Verwandlung der Softwareentwicklung abdecken. Insource Formal Build Outsource Agile Buy

8 OpenSAMMOverview 4 Geschäftsbereiche, 12 Bereiche der Sicherheitspraktiken

9 Wichtige Teile eines Secure SDLC Diese Aktivitäten sichern eine Basislinie für sichere Webapps Governance Construction Verification Deployment Appsec Standard Sicherheitsanforderungen Pentest Hardening Ausbildung Sichere Frameworks Code Review Vulnerability Mgmt

10 BenchmarkingwithOpenSAMM Basierend auf Befragungen (Workshop) zu den Themen Sicherer SDLCnach OpenSAMM Abhärtung Schwachstellen Aktueller Stand eines Unternehmens Operations Strategie 1 0,8 0,6 0,4 0,2 0 Policy Weiterbildung Bedrohungen Tests Anforderungen Workshop Code Design Architektur

11 ApplicationSecurity Standards Standards regeln die Vorgaben für sichere Entwicklung

12 Standards und Granularität Die richtige Bilanz ist wichtig Zu abstrakt: Systems must be protected according to of ISO/IEC Zu konkret: Do not use HttpRequest.isUserInRole("adm in") in an Internet facing servlet under JDK 1.4 Out of Scope(eher Betrieb): Tomcat must be configured to deny use of the invoker servlet Out of Scope(eher Security) Logfiles must be monitored for attacks.

13 Erweiterbare Struktur ist flexibel

14 ManagedCode Services Ihr Code wird auf Qualität und Sicherheit von Experten geprüft ManagedCode Services sorgen für sichere Anwendungen und erhöhte Code-Qualität. Developers Entwicklung Code Entwickler werden entlastet und unterstutzt. Reviews vor Ort oder per Remote Tickets & Feedback Review & Analyse Metriken für Qualität? Bereinigung von False Positives? OPTIMA Review Team Update, Filter, Management Analyse Tool

15 Penetrationstest Penetrationstest muss regelmäßig und strukturiert sein Strukturierter Penetrationstest nach OWASP Standards und BSI Kriterien. Aktuelle Schwachstellen werden erkannt (regelmäßiges Forschen) Kickoff Testen Analyse Reporting Mit Tools und manuell per Expertenhand. Nachvollziehbare und klare Kriterien für Schwere, Eintrittswahrscheinlichkeit, usw.

16 Penetrationstest einer Webanwendung Qualität ist entscheidend --- Gute Tests brauchen auch Zeit Ein hochwertiger Pentest: ist strukturiert nach OWASP Standards und BSI Kriterien. erkennt aktuelle Schwachstellen. Kickoff Testing Analyse Reporting baut primär auf manueller Expertentest (Tools auch wichtig) ausführlich dokumentiert mit nachvollziehbare Risikobewertungen.

17 Über OPTIMbit GmbH Fokus Kunden Credo IT-Sicherheit für Anwendungen & Infrastrukturen Unternehmen ab ca. 500 Mitarbeitern Herstellerneutrale Beratung von höchster Qualität

18 Kontakt OPTIMAbit GmbH Dr. Bruce Sams Marktplatz Neufahrn Tel.: /65095 Fax /65096

19 Vielen Dank für Ihre Aufmerksamkeit

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

Der Application Security Verification Standard (ASVS) OWASP 10/2010. The OWASP Foundation http://www.owasp.org. AppSec Germany 2010

Der Application Security Verification Standard (ASVS) OWASP 10/2010. The OWASP Foundation http://www.owasp.org. AppSec Germany 2010 Der Application Security Verification Standard (ASVS) 10/2010 Matthias Rohr SEC Consult Deutschland Senior Security Consultant m.rohr@sec-consult.com Copyright The Foundation Permission is granted to copy,

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Applikationssicherheit im gesamten Entwicklungszyklus mit Hilfe von OpenSAMM und BSIMM

Applikationssicherheit im gesamten Entwicklungszyklus mit Hilfe von OpenSAMM und BSIMM Applikationssicherheit im gesamten Entwicklungszyklus mit Hilfe von OpenSAMM und BSIMM Lucas v. Stockhausen Software Security Consultant lvonstockhausen@hp.com www.fortifysoftware.com +49 1520 1898430

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Die Integration von Requirements Management, Software Configuration Management und Change Management mit der MKS Integrity Suite 2006

Die Integration von Requirements Management, Software Configuration Management und Change Management mit der MKS Integrity Suite 2006 Die Integration von Requirements Management, Software Configuration Management und Change Management mit der MKS Integrity Suite 2006 Oliver Böhm MKS GmbH Agenda Überblick Der Entwicklungsprozess: Requirements

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

MSDN Webcast: Team Foundation Server Mehr als nur eine Versionsverwaltung! Visual Studio Team System (Teil 1 von 10) Veröffentlicht: 20.

MSDN Webcast: Team Foundation Server Mehr als nur eine Versionsverwaltung! Visual Studio Team System (Teil 1 von 10) Veröffentlicht: 20. MSDN Webcast: Team Foundation Server Mehr als nur eine Versionsverwaltung! Visual Studio Team System (Teil 1 von 10) Veröffentlicht: 20. Februar 2008 Presenter: Neno Loje, MVP für Team System www.teamsystempro.de

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! Oliver Steinhauer Sascha Köhler.mobile PROFI Mobile Business Agenda MACHEN SIE IHRE ANWENDUNGEN MOBIL?! HERAUSFORDERUNG Prozesse und Anwendungen A B

Mehr

Agil, aber sicher? Security im agilen Entwicklungsprozess. 15.3.2016 OWASP Stammtisch München

Agil, aber sicher? Security im agilen Entwicklungsprozess. 15.3.2016 OWASP Stammtisch München Agil, aber sicher? Security im agilen Entwicklungsprozess 15.3.2016 OWASP Stammtisch München Über mich Andreas Falk NovaTec Consulting GmbH andreas.falk@novatec-gmbh.de Mitglied der @andifalk @agile_security

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Testers Architects Enterprise Dev Consultants Professionals VB6 Devs Part-Timers Hobbyists Students Enthusiasts Novices

Testers Architects Enterprise Dev Consultants Professionals VB6 Devs Part-Timers Hobbyists Students Enthusiasts Novices Visual Studio Team System 15. Mai 2006 TU Dresden Oliver Scheer Developer Evangelist Developer Platform & Strategy Group Microsoft Deutschland GmbH Agenda Einführung in Visual Studio Team System Demo Fragen

Mehr

12. 13. Februar, München 2. 3. Juli, Berlin 3. 4. September, Bonn 17. 18. Dezember, Nürnberg

12. 13. Februar, München 2. 3. Juli, Berlin 3. 4. September, Bonn 17. 18. Dezember, Nürnberg Vergabe von Webanwendungen: IT-Sicherheitsanforderungen als Auftragnehmer erfüllen Seminar für Auftragnehmer der öffentlichen Verwaltung: Wie kann man IT-Sicherheitsanforderungen nach BSI-Leitfaden in

Mehr

Standardisiert aber flexibel

Standardisiert aber flexibel AFCEA e.v. Mittagsforum 24.10.2008 Godesburg, Bonn-Bad Godesberg Standardisiert aber flexibel Prozessmodelle im Übergang von der Theorie in die Praxis. Brian Rosenberger Die Theorie Der entwickelt Verfahren

Mehr

Technische Universität München. Eine Evaluierung von OpenSAMM für die Entwicklung sicherer Webanwendungen

Technische Universität München. Eine Evaluierung von OpenSAMM für die Entwicklung sicherer Webanwendungen Technische Universität München Fakultät für Informatik Bachelorarbeit in Informatik Eine Evaluierung von OpenSAMM für die Entwicklung sicherer Webanwendungen Fabian Streitel Technische Universität München

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10.

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10. Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen Udo H. Kalinna Nürnberg, den 10.10.2013 AGENDA Kein Tag ohne Hack! Sind diese Schwachstellen

Mehr

Teil I Überblick... 25

Teil I Überblick... 25 Inhaltsverzeichnis Vorwort... 17 Motivation und Intention... 18 ITIL ist nicht nur reine Technik... 18 ITIL ist mehr... 19 ITIL ist auch ein Thema für die Organisation... 19 Zurück zum Thema Motivation...

Mehr

TFS Customzing. in der Praxis. Thomas Gugler. seit 2005 bei ANECON. .NET seit 2002 (happy bday!) Schwerpunkte: MCPD.Net 4.0, MCTS TFS, Scrum Master,

TFS Customzing. in der Praxis. Thomas Gugler. seit 2005 bei ANECON. .NET seit 2002 (happy bday!) Schwerpunkte: MCPD.Net 4.0, MCTS TFS, Scrum Master, TFS Customzing in der Praxis Thomas Gugler ANECON Software Design und Beratung G.m.b.H. Alser Str. 4/Hof 1 A-1090 Wien Tel.: +43 1 409 58 90 www.anecon.com office@anecon.com Thomas Gugler seit 2005 bei

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Gehackte Webapplikationen und Malware

Gehackte Webapplikationen und Malware 2014-04-11 Vorstellung Beispiel Motivation Veraltete Webanwendungen Betreibe kleinen Webhoster (schokokeks.org), Fokus auf Datenschutz, Sicherheit, freie Software Zahlen: 2 Admins, ca. 300 Kunden, 1000

Mehr

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten. Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten. networker, projektberatung GmbH AN ALLGEIER COMPANY / Division Allgeier Experts IT-Security Portfolio 2015 IT-Beratung, IT-Personalservice und

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Was ist bei der Entwicklung sicherer Apps zu beachten?

Was ist bei der Entwicklung sicherer Apps zu beachten? Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung

Mehr

Service Design. Dirk Hemmerden - Appseleration GmbH. Mittwoch, 18. September 13

Service Design. Dirk Hemmerden - Appseleration GmbH. Mittwoch, 18. September 13 Service Design Dirk Hemmerden - Appseleration GmbH An increasing number of customers is tied in a mobile eco-system Hardware Advertising Software Devices Operating System Apps and App Stores Payment and

Mehr

Value Delivery and Customer Feedback

Value Delivery and Customer Feedback Value Delivery and Customer Feedback Managing Continuous Flow of Value Michael Reisinger Microsoft & ANECON Praxisupdate 2014 ANECON Software Design und Beratung G.m.b.H. Alser Str. 4/Hof 1 A-1090 Wien

Mehr

Vertrauenswürdigkeit von Software. Sandro Hartenstein FH Brandenburg

Vertrauenswürdigkeit von Software. Sandro Hartenstein FH Brandenburg Vertrauenswürdigkeit von Software FH Brandenburg Agenda Vorstellung OPTET Vertrauenswürdige Software Ermittlung von Attributen Messen der Vertrauenswürdigkeit Prototyp Ausblick 20.05.2014 2 OPTET FP7 EU-Projekt

Mehr

Was ist Application Lifecycle Management?

Was ist Application Lifecycle Management? Was ist Application Lifecycle Management? Von David Chappell Gefördert durch die Microsoft Corporation 2010 Chappell & Associates David Chappell: Was ist Application Lifecycle Management? Seite 2 von 7

Mehr

Mythen des Cloud Computing

Mythen des Cloud Computing Mythen des Cloud Computing Prof. Dr. Peter Buxmann Fachgebiet Wirtschaftsinformatik Software Business & Information Management Technische Universität Darmstadt 12.09.2012 IT-Business meets Science Prof.

Mehr

Quality is our Passion!

Quality is our Passion! Quality is our Passion! Quality is our Passion! Quality is our Passion! 2 Knowledge Department ist ein Dienstleistungsunternehmen im Software-Entwicklungs-Bereich. Das Serviceangebot umfasst Trainings,

Mehr

Phasen. Gliederung. Rational Unified Process

Phasen. Gliederung. Rational Unified Process Rational Unified Process Version 4.0 Version 4.1 Version 5.1 Version 5.5 Version 2000 Version 2001 1996 1997 1998 1999 2000 2001 Rational Approach Objectory Process OMT Booch SQA Test Process Requirements

Mehr

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Vorstellung Markus Wutzke Senior Consultant Secaron AG Certified Secure Software Lifecycle Professional (CSSLP

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Gliederung. Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung

Gliederung. Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung Peter Forbrig RUP 1 Gliederung Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung Peter Forbrig RUP 2 Rational Unified

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Security RiskFlows. Konzepte für die organisierte Suche nach der Nadel im Heuhaufen. Ruth Breu, Michael Brunner Universität Innsbruck

Security RiskFlows. Konzepte für die organisierte Suche nach der Nadel im Heuhaufen. Ruth Breu, Michael Brunner Universität Innsbruck Security RiskFlows Konzepte für die organisierte Suche nach der Nadel im Heuhaufen Ruth Breu, Michael Brunner Universität Innsbruck http://www.qe-lab.at/ Quality Engineering Laura Bassi Lab Living Models

Mehr

Application Lifecycle Management mittels Polarion und custom Plug-Ins

Application Lifecycle Management mittels Polarion und custom Plug-Ins Application Lifecycle Management mittels Polarion und custom Plug-Ins Michael Radlingmaier 2011-09-14 Security Classification: Public Über SONY DADC AUSTRIA AG Produzent von optischen Speichermedien (CD,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

OWASP German Chapter. Chapter Meeting 17.05.2013

OWASP German Chapter. Chapter Meeting 17.05.2013 The OWASP Foundation http://www.owasp.org OWASP German Chapter Chapter Meeting 17.05.2013 Tobias Glemser tobias.glemser@owasp.org Was ist OWASP? Was ist OWASP? Fear, Uncertainty and Doubt (FUD) Angstkultur

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Softwareentwicklung bei eevolution

Softwareentwicklung bei eevolution Softwareentwicklung bei eevolution Darstellung der Prozesse mit dem agilen Entwicklungsansatz Jan Freitag, COMPRA GmbH Jan Freitag Studium: IMIT Bachelor: 2005-2008 IMIT Master: 2008-2010 eevolution: Mitarbeit

Mehr

Automotive SPiCE und IEC 61508 Synergie oder Widerspruch?

Automotive SPiCE und IEC 61508 Synergie oder Widerspruch? Safety Competence Center Vienna Automotive SPiCE und IEC 61508 Synergie oder Widerspruch? Pierre Metz, Gabriele Schedl copyright SYNSPACE, SCC fh campus wien All rights reserved Problemfelder Produktsicherheit

Mehr

ITIL V3 Basis-Zertifizierung

ITIL V3 Basis-Zertifizierung Nadin Ebel ITIL V3 Basis-Zertifizierung Grundlagenwissen und Zertifizierungsvorbereitung für die ITIL Foundation-Prüfung ^- ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow,

Mehr

VOQUZ APPLICATION SECURITY TESTING

VOQUZ APPLICATION SECURITY TESTING VOQUZ APPLICATION SECURITY TESTING POWERED BY MARTIN KÖGEL 1 VOQUZ APPLICATION SECURITY TESTING Full Service On Demand Scans und SDLC Integration Vergleich von On Demand mit On Premise Lösung VOQUZ AST

Mehr

IT Security Dienstleistungen 1

IT Security Dienstleistungen 1 IT SECURITY DIENSTLEISTUNGEN Themen-Übersicht 1 Inhalt USP Security Framework Network Security Application Security Organisation Rollen Seite 2 2 USP Security Framework Network Security Application & System

Mehr

Von Requirements zutests. gç~åüáãkpåüìäò]èì~äáíóé~êâkçé

Von Requirements zutests. gç~åüáãkpåüìäò]èì~äáíóé~êâkçé Von Requirements zus gç~åüáãkpåüìäò]èì~äáíóé~êâkçé QualityPark Ihr Partner im Lifecycle Management Process Management Requirements Engineering IT & Development Process Expertise Process Implementation

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer Markus Urban.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform

Mehr

Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie

Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie Gerald Heller Agenda Standortbestimmung ALM Typischer industrieller Setup und Probleme Vorstellung von QualityCenter als ALM tool

Mehr

Software-Entwicklung

Software-Entwicklung Software-Entwicklung SEP 96 Geschichte der Programmierung Aufgaben von, Anforderungen an Programme mit der Zeit verändert 1 Programmierung über Lochkarten z.b. für Rechenaufgaben 2 maschinennahe Programmierung

Mehr

Moderne Datenbankentwicklung mit Hilfe von SQL Server Data Tools

Moderne Datenbankentwicklung mit Hilfe von SQL Server Data Tools Moderne Datenbankentwicklung mit Hilfe von SQL Server Data Tools David Schäfer Vorstellung: HMS Analytical Software Anwendungs-Know-how, u.a. Banken und Versicherungen Pharma- und Medizinprodukte Technologie-Know-how,

Mehr

Vision: ICT Services aus der Fabrik

Vision: ICT Services aus der Fabrik Vision: ICT Services aus der Fabrik Der Weg zur elastischen ICT-Infrastruktur Daniel Jossen Geschäftsführer (CEO) dipl. Ing. Informatik FH, MAS IT Network Unsere Vision Wir planen und implementieren für

Mehr

Bekannte Tools in einem agilen Ansatz. Frank Schwichtenberg SourceTalkTage 2013 Göttingen, 2.10.2013

Bekannte Tools in einem agilen Ansatz. Frank Schwichtenberg SourceTalkTage 2013 Göttingen, 2.10.2013 Bekannte Tools in einem agilen Ansatz Frank Schwichtenberg SourceTalkTage 2013 Göttingen, 2.10.2013 Vorher Lange Planungszeiten und Releasezyklen Manche Features brauchten lange und wurden nicht gebraucht

Mehr

Lohnt sich Requirements Engineering?

Lohnt sich Requirements Engineering? Lohnt sich Requirements Engineering? Seminar Messbarkeit von Anforderungen am Fachgebiet Software Engineering Wintersemester 2007/2008 Betreuer: Eric Knauss Oleksandr Kazandzhi Gliederung Einleitung Messen

Mehr

Sichere Webportale. Wie stell ich's an?

Sichere Webportale. Wie stell ich's an? Sichere Webportale Wie stell ich's an? Inhalt 1. Stereotyp: Worst Practice > Die drei Dilemmas 2. Software-Sicherheit > Best Practice 3. Audit > Status Tools Disclaimer / Ernüchterung 1. 40 Minuten sind

Mehr

Saxonia Systems. Saxonia Systems AG. Spezialist für Software-Entwicklung, IT- und Prozessberatung. Dresden, 9. März 2011

Saxonia Systems. Saxonia Systems AG. Spezialist für Software-Entwicklung, IT- und Prozessberatung. Dresden, 9. März 2011 Saxonia Systems Saxonia Systems AG Spezialist für Software-Entwicklung, IT- und Prozessberatung Dresden, 9. März 2011 Dresden Frankfurt/Main Leipzig München Hamburg Görlitz Berlin Saxonia Systems AG Unterstützt

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY

Mehr

Integration mit Service Repositories zur SOA Governance

Integration mit Service Repositories zur SOA Governance Integration mit Service Repositories zur SOA Governance Nürnberg, 10.11.2009 I N H A L T 1. SOA Governance 2. Service Repository 3. Modelle und Service Repository 4. Modell-Driven SOA I N H A L T 1. SOA

Mehr

Comparing Software Factories and Software Product Lines

Comparing Software Factories and Software Product Lines Comparing Software Factories and Software Product Lines Martin Kleine kleine.martin@gmx.de Betreuer: Andreas Wuebbeke Agenda Motivation Zentrale Konzepte Software Produktlinien Software Factories Vergleich

Mehr

Anforderungsgetriebene Webentwicklung mit Grails:

Anforderungsgetriebene Webentwicklung mit Grails: ne mit Grails: und dem 26.01.2012 und dem Gliederung und dem Projektumfeld Agentur mit weniger als 5 Mitarbeitern Schwerpunkte: mit Typo 3 / PHP ios App-Entwicklung für ipad und iphone und dem Folie 1

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

Probeklausur. Lenz Belzner. January 26, 2015. Lenz Belzner Probeklausur January 26, 2015 1 / 16

Probeklausur. Lenz Belzner. January 26, 2015. Lenz Belzner Probeklausur January 26, 2015 1 / 16 Probeklausur Lenz Belzner January 26, 2015 Lenz Belzner Probeklausur January 26, 2015 1 / 16 Definieren Sie Software Engineering in Abgrenzung zu Individual Programming. Ingenieursdisziplin professionelle

Mehr

DIGICOMP OPEN TUESDAY AKTUELLE STANDARDS UND TRENDS IN DER AGILEN SOFTWARE ENTWICKLUNG. Michael Palotas 7. April 2015 1 GRIDFUSION

DIGICOMP OPEN TUESDAY AKTUELLE STANDARDS UND TRENDS IN DER AGILEN SOFTWARE ENTWICKLUNG. Michael Palotas 7. April 2015 1 GRIDFUSION DIGICOMP OPEN TUESDAY AKTUELLE STANDARDS UND TRENDS IN DER AGILEN SOFTWARE ENTWICKLUNG Michael Palotas 7. April 2015 1 GRIDFUSION IHR REFERENT Gridfusion Software Solutions Kontakt: Michael Palotas Gerbiweg

Mehr

Wolfgang Boelmann AWO Bremerhaven. Cobit, ITIL, Spice und Co.

Wolfgang Boelmann AWO Bremerhaven. Cobit, ITIL, Spice und Co. Wolfgang Boelmann AWO Bremerhaven Cobit, ITIL, Spice und Co. Kategorisierung der Modelle Management- Modelle Servicemanagement- Modelle Vorgehens- Modelle Qualitäts-Modelle BSC COSO COBIT ISO 38500 PMBoK

Mehr

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke Die COBIT 5 Produktfamilie (Kurzvorstellung) Markus Gaulke (mgaulke@kpmg.com) COBIT 5 Produkt Familie COBIT 5 Produktfamilie COBIT 5 - Business Framework COBIT 5 Enabler Guides Enabling Processes Enabling

Mehr

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements Pallas GmbH und Secunia präsentieren Compliance und Nutzen eines automatisierten Patch Managements Software-Schwachstellen Fehler im Anwendungscode: Sicherheitsrisiken Funktionalität Eine Schwachstelle,

Mehr

CONTINUOUS DELIVERY. Entmystifiziert. codecentric AG

CONTINUOUS DELIVERY. Entmystifiziert. codecentric AG CONTINUOUS DELIVERY Entmystifiziert WIE SOFTWARE LIEFERN? 01.07.2014 2 WAS IST CONTINUOUS DELIVERY? Robust Wiederholbar Effektiv 01.07.2014 3 LANDSCHAFTEN Continuous Integration Public / Private Hybrid

Mehr

Unternehmen agil gestalten und die Geschäftsprozesse industrialisieren

Unternehmen agil gestalten und die Geschäftsprozesse industrialisieren Unternehmen agil gestalten und die Geschäftsprozesse industrialisieren Oracle Fusion Middleware Event Dezember 2008 Dr. Wolfgang Martin Analyst, ibond Partner, Ventana Research Advisor und Research Advisor

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Jörg Neumann Acando GmbH

Jörg Neumann Acando GmbH Jörg Neumann Acando GmbH Jörg Neumann Principal Consultant bei der Acando GmbH MVP Windows Platform Development Beratung, Training, Coaching Buchautor, Speaker Mail: Joerg.Neumann@Acando.com Blog: www.headwriteline.blogspot.com

Mehr

Wer bin ich. > Senior Consultant, Architekt und Trainer (MATHEMA Software GmbH) > 25+ Jahre Software > 12+ Jahre Java Enterprise > 7+ Jahre.

Wer bin ich. > Senior Consultant, Architekt und Trainer (MATHEMA Software GmbH) > 25+ Jahre Software > 12+ Jahre Java Enterprise > 7+ Jahre. Copyright 2010, MATHEMA Software GmbH 1 Wer bin ich > Senior Consultant, Architekt und Trainer (MATHEMA Software GmbH) > 25+ Jahre Software > 12+ Jahre Java Enterprise > 7+ Jahre.Net > Schwerpunkte Software

Mehr

Lasst die Roboter arbeiten: Oberflächen (Test) Automation im Fokus

Lasst die Roboter arbeiten: Oberflächen (Test) Automation im Fokus 1 Lasst die Roboter arbeiten: Oberflächen (Test) Automation im Fokus SEQIS Software Testing Know-how Veranstaltungen 2011 24.03.2011 16.06.2011 22.09.2011 24.11.2011 Nicht zuviel und nicht zuwenig: Testdokumentation

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

PCI Compliance. Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor

PCI Compliance. Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor PCI Compliance Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor Agenda Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Agile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg

Agile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg Herzlich willkommen Agile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg Heike Bickert Software-/Systemingenieurin, Bereich Quality Management Braunschweig // 17.11.2015 1 Agenda ICS AG Fragestellungen

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

AGILE APPLICATION LIFECYCLE MANAGEMENT IM ATLASSIAN ECOSYSTEM

AGILE APPLICATION LIFECYCLE MANAGEMENT IM ATLASSIAN ECOSYSTEM AGILE APPLICATION LIFECYCLE MANAGEMENT IM ATLASSIAN ECOSYSTEM 09.07.2015 NATALIE WENZ JAN GERTGENS Vorstellung Natalie Wenz Studium Medieninformatik an der Hochschule Reutlingen mit Abschluss als Master

Mehr

Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery

Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery www.pwc.de Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery Jörg Hild und Roland Behr IT-Organisationen heute: Die Zeiten der klaren Strukturen sind vorüber Die IT Sourcing Studie

Mehr

HOOD Service Portfolio

HOOD Service Portfolio Denn sie wissen nicht was sie tun! Den Überblick über agile Backlogs behalten. Susanne Mühlbauer, Jens Donig, HOOD GmbH, Oktober 2012 HOOD Service Portfolio -2- Was ist ein Backlog? Der Begriff Backlog

Mehr

IT-Security durch das passende OS. Oracle Solaris 11.2.

IT-Security durch das passende OS. Oracle Solaris 11.2. IT-Security durch das passende OS. Oracle Solaris 11.2. Heiko Stein Senior IT-Architekt etomer GmbH Agenda. Motivation (?) Compliance und Security in Solaris 11.2 Besondere Funktionen und deren Nutzung

Mehr

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen Cyber Security 4.0 Aktuelle Angriffs- Methoden & Gegenmaßnahmen Michael Hochenrieder Senior Information Security Consultant HvS-Consulting AG Einige prominente Fälle Restricted: for project use only 2

Mehr

IT-Sicherheit im Bankenumfeld: Ein konzeptioneller Ansatz

IT-Sicherheit im Bankenumfeld: Ein konzeptioneller Ansatz Universität Hildesheim Institut für Betriebswirtschaftslehre und Wirtschaftsinformatik Hannover OE 2152 Endgeräte 02.07.2008 Christian Kröher 1 02.07.2008 Christian Kröher 2 1 Ausgangssituation Unsichere

Mehr

Security Operations Center

Security Operations Center Nadine Nagel / Dr. Stefan Blum Security Operations Center Von der Konzeption bis zur Umsetzung Agenda Bedrohungslage Security Operations Center Security Intelligence Herausforderungen Empfehlungen 2 Bedrohungslage

Mehr