Agenda. Über cirosec Themen der IT-Sicherheit. Ausblick Die richtige Vorgehensweise

Größe: px
Ab Seite anzeigen:

Download "Agenda. Über cirosec Themen der IT-Sicherheit. Ausblick Die richtige Vorgehensweise"

Transkript

1 IT Sicherheit heute

2 Agenda Über cirosec Themen der IT-Sicherheit Wann / wie sie entstanden sind Die jeweilige Bedrohungslage heute Moderne Maßnahmen Ausblick Die richtige Vorgehensweise 2

3 Wer ist cirosec? Innovative Firma mit Fokus auf IT-Sicherheit Konzepte, Reviews und Analysen Management-Beratung ISO 27001, Risikomanagement Audits und Penetrationstests Incident Response und Forensik Implementation von Produkten und Lösungen Konzepte, neutrale Evaluationen und Umsetzungen Schulungen Wir leben vom Knowhow unserer Mitarbeiter Erfahrene Spezialisten, Buchautoren 3

4 Veröffentlichung und Vorträge Diverse Fachbücher Artikel vor allem ix und ct, aber auch Computerzeitung, Computerwoche, IT-Sicherheit usw. z. B.: ix Sonderheft Security Viele Vorträge auf Konferenzen In Deutschland aber auch im Ausland

5 Unsere Kunden Banken, Versicherungen Automobil Chemie / Pharma Handel Energie 5

6 IT-Defense Der cirosec Security- Kongress Seit Januar 2004 jedes Jahr mit ca. 200 Teilnehmern Fachvorträge von international bekannten Experten wie Bill Cheswick, Simon Singh Bruce Schneier, Fyodor, Marty Roesch Marcus Ranum, Clifford Stoll, Renaud Deraison Joanna Rutkowska, Phil Zimmermann Vietse Venema, Kevin Mitnick, Barnaby Jack, Adam Laurie Karsten Nohl, Starbug, FX, Johnny Long Saumil Shah, Halvar Flake Joe Grand, Cesar Cerrudo, Mark Behnecke uvm.

7 IT-Defense bis 6. Februar - The Westin Leipzig Bruce Schneier Bill Cheswick Fernando Gont Leo Marti Rahul Kashyap Sandro Gayken Jeremiah Grossman Ross Anderson

8 Trainings & Seminare 3 bzw. 4 Tage Hands On Trainings Realistische Szenarien aus der Praxis Viele Übungen Max. 15 Teilnehmer, je 1 Notebook (nicht bei ISO Trainings) Hacking Extrem Firewall und IDS Evading Buffer Overflows und Format-String-Fehler Spoofing / Sniffing / Hijacking Rootkits (klassisch, LKM s) DLL-Injection... Hacking Extrem Web Applikationen Cross Site Scripting, Command Injection SQL Injection, Session Fixation, Cookies, Durchgriff aufs Betriebssystem Authentisierung und Autorisierung Forensik Extrem Incident Response Spurensicherung und Analyse Plattenanalyse und Hauptspeicher Juristische Aspekte Härtung und sichere Konfiguration Härtung und sichere Konfiguration Windows, Terminalserver Unix / Linux Apache, Tomcat, Certified ISO Lead Auditor Einführung ISMS, ISO Planung und Durchführung eines Audits, Follow Up Zertifizierungsprüfung Certified ISO Lead Implementer Einführung ISMS, ISO Implementierung und Management eines ISMS Zertifizierungsprüfung

9 Neue Trainings in 2014/15 Crashkurs IT- und Informationssicherheit Theoretische und praktische Grundlagen Bedrohungslage für Unternehmen Sicherheitsmanagement Passende Maßnahmen Zielgruppe sind Einsteiger im Bereich der IT- Sicherheit und Manager Certified ISO Incident Management Informationssicherheitsvorfälle feststellen, berichten und bewerten Auf Informationssicherheitsvorfälle reagieren und sie bewältigen Informationssicherheitslücken feststellen, bewerten und schließen Kontinuierliche Verbesserung der Informationssicherheit und des Incident Managements durch die Bewältigung von Informationssicherheitsvorfällen und -lücken

10 cirosec Trend Tage Kostenlose Veranstaltungsreihe München, Stuttgart, Köln, Frankfurt Vorstellung neuer Trends, Technologien und Produkten 2002: WAFs, Host-IPS, Audit-Tools, Daten 2003: IDS/IPS, WAFs, Corba u. SOAP, Audits 2004: IPS, Mapping, Verwundbarkeits Mgnt 2005: WAFs, Wireless u. Mobile Sec., DB Sec 2006: Sensible Daten, Forensik, Patch Mgnt 2007: Verwundbarkeits Mgnt, Kennzahlen 2008: Source-Analyse, IDS, SIM, DLP, VulnMgnt 2009: Incident Response, IT-GRC, Admin. Nachvollz. 2010: Applikationssicherheit, Prüfwerkzeuge, Zert-Mgnt 2011: Verwundbarkeits- und Risikomanagement 2012: ByoD, Auditierung, APTs, ddos 2013: NAC, APTs, Nachvollziehbarkeit, Cloud 2014: Schutz des Browsers, BYOD, NAC 10

11 Unser Angebot Konzepte, Reviews und Analysen Management-Beratung ISO 27001, Risikomanagement, Prozesse, Policies, Richtlinien, Audits und Penetrationstests Applikationen, Geräte, Netzwerke, Quellcode, Social Engineering Incident Response und Forensik Implementation von Produkten und Lösungen Konzepte, neutrale Evaluationen und Umsetzungen Schulungen 11

12 Audits / Penetrationstests von cirosec Mehr als die Hälfte der Berater machen primär Audits und Penetrationstests sehr hoher Erfahrungsschatz, Kompetenz Wir finden oft kritische Schwachstellen, die andere Prüfer übersehen Verständliche Berichte mit sinnvollen Bewertungen und Empfehlungen Management Summary, technisches Summary, Erklärungen, Empfehlung von Maßnahmen Qualitätsmanagement im Bereich Prüfung 12

13 Aktuelle Technologien / Bereiche Moderne Schutzmaßnahmen WAFs, Schutz vor DDoS und gezielten Angriffen bzw. APTs Sicherheit im internen Netz LAN Zugangskontrolle, 802.1x, NAC/NAP, IPS, Flow-Analyse BYOD, Mobile Security, Wireless Security iphones, ipads, Android, sichere Apps, Sensible Daten Von DLP und Klassifikation bis zum sicheren Austausch Prüfwerkzeuge Applikationen, Datenbanken, Infrastruktur, Quellcode Security Management Werkzeuge für ISMS, Verwundbarkeits- und Risiko-Management Nachvollziehbarkeit administrativer Zugriffe Externe Administration, Protokollierung 13

14 Der rote Faden: Themen der IT Security im Rückblick ? , ,

15 Perimeter-Sicherheit Internet Kontrolle der Verbindungen zwischen innen und außen Firewall- Filter Proxies Internes Netz 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 15

16 Perimeter-Sicherheit HA-FW Mgnt Internet Proxies Kontrolle der Verbindungen zwischen innen und außen Einstufig oder mehrstufig Eventuell mit hoher Verfügbarkeit (Cluster) Next Generation Firewalls? 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 16

17 RAS, VPN, Starke Authentisierung Von Remote-Einwahl mit Modems und ISDN zu verschlüsselten VPN-Verbindungen über das Internet Internet Ist das wirklich unser Mitarbeiter? VPN-Gateway Firewall-Filter VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 17

18 RAS, VPN, Starke Authentisierung Passwörter Waren und sind oft trivial -> Vorgaben zur Komplexität / Länge Wurden nie geändert -> Vorgaben zur Änderung VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 18

19 Authentisierung heute Besitz an vorhandene Geräte binden? Smartphone mit Crypto-Chips Notebooks mit TPM Biometrie wird in der Regel nicht als Sicherheitsgewinn betrachtet Umdenken bei Passwörtern Forderung zur regelmäßigen Änderung führt meist nicht zu höherer Sicherheit Mehrfache Verwendung von Passwörtern auf externen Systemen viel kritischer VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 19

20 Intrusion Detection / Prevention IDS / IPS Gateway 1998 IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung Individuelle Malware, gezielte Angriffe? 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 20

21 PKI, Zertifikate, Smartcards PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 21

22 PKI, Zertifikate, Smartcards Zertifikate heute: SSL (Webserver) Neuer Bedarf bei Smartphones / Tablets Und nach wie vor Mail-Verschlüsselung, Authentisierung, Aktuelle Herausforderungen: PKI-Aufbau, falls noch nicht vorhanden Integration in moderne Systeme Z.B. MDM Z.B. Zertifikats-Wildwuchs im IT-Betrieb Self signed, vom Hersteller vorinstalliert, PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 22

23 Device bzw. USB-Port Kontrolle Automatisch startende Malware? LAN PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 23

24 Applikationssicherheit Angreifer Internet bösartige Inhalte in Daten (URLs, Formulare, Cookies) Angriffe auf die individuelle Webanwendung Angriffe auf den Applikationsserver Angriffe auf den Webserver 2003 Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle Web- oder Applikationsserver 1999 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens LAN 1998 IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 24

25 Applikationssicherheit heute Web Application Firewalls (WAFs) Auch neuere Varianten Cloud-Optionen Honey-Tokens Penetrationstests Neue sinnvolle Standards z.b. ASVS 2.0 Entwicklungsrichtlinien Für eigene Entwickler (Sensibilisierung!) Aber auch Dienstleister / Agenturen! Oft fehlt dies noch für Apps Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 25

26 Verwundbarkeits-Management Regelmäßige automatisierte Ermittlung der offensichtlichen Schwachstellen Netzwerk- bzw. Applikationsscanner Bewertung im Unternehmenskontext 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 26

27 Wireless LANs Heutige Themen bei WLANs Probleme mit alten Geräten z.b. in der Logistik Neue Probleme mit WPS Unsichere Konfigurationen Mobile Endgeräte sog. Probe Requests 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung Für zu Hause ohne Zertifikate: zumindest WPA2 (PSK) mit langen und komplexen Schlüsseln (Passwörtern). WPS deaktivieren Perimeter-Sicherheit Firewalls Content Security Gateways 27

28 Endgeräte-Sicherheit / Host-IPS Endgeräte-Sicherheit Kein neues Thema, sondern immer schon parallel zur Netzwerksicherheit präsent ( Defense in Depth ) Ziel: Angriffe auf dem Endgerät selbst verhindern Auch wenn ein PC über ein Netzwerk erreichbar ist Frühe Methoden: 2005 Host IPS DB / XML FWs Virenschutz auf dem Arbeitsplatz-PC 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt Personal Firewalls als Adaption von Perimeter-Firewalls 2003 Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle 28

29 Endgeräte-Sicherheit heute 2005 Host IPS DB / XML FWs 2004 Neue Betriebssysteme machen einen großen Unterschied Windows 7 oder 8 macht es Angreifern sehr viel schwerer Firewalls, Virenschutz etc. schon Teil der heutigen Betriebssysteme Windows XP sollte dringend abgeschaltet werden Whitelisting und Port-Kontrolle gelegentlich ein Thema Renaissance von Host IPS und Sandboxing Neuer Trend: Mikrovirtualisierung Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt 2003 Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle 29

30 SIEM 2005 Host IPS DB / XML FWs Zentrale Sammlung von Protokolldaten 2004 Automatisierte Auswertung zur Erkennung von Angriffen Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 30

31 Netzwerk-Zugangskontrolle Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze Kann jeder unbeaufsichtigte Besucher sein Notebook ins Netzwerk einstecken? 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens LAN 1998 IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung Heute: PwnPlug etc Perimeter-Sicherheit Firewalls Content Security Gateways 31

32 sensible Daten 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze Was sind unsere kritischen Daten? 2004 Wie verhindern wir, dass diese in falsche Hände geraten? Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 32

33 2008 Themen der IT Security: Nachvollziehbarkeit Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration 2005 Virtualisierung 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens Wer war Administrator? Was hat er gemacht? 1998 IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 33

34 RFID und andere Funk-Systeme 2006 NAC, NAP, Quarantäne Netze ComOnAir: ca DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration 2009 IT-GRC, Cloud GSM, Funk Proxmark3: ca. 240 USRP: ca

35 Smartphones und Tablets 2006 NAC, NAP, Quarantäne Netze iphones im WLAN Hotspot 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 35

36 Smartphones und Tablets 2006 NAC, NAP, Quarantäne Netze 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 36

37 Smartphones und Tablets 2006 NAC, NAP, Quarantäne Netze 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 37

38 Smartphones und Tablets 2006 NAC, NAP, Quarantäne Netze 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 38

39 Smartphones und Tablets NAC, NAP, Quarantäne Netze DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, Komplettes Auslesen von Smartphones / Tablets: Beispiel iphone 4 oder älter Starten eines Live-Betriebssystems mittels Softwareschwachstellen im BootROM Diebstahl aller unverschlüsselten Daten Diebstahl verschlüsselter Daten mittels Brute-Force-Angriff auf das Gerätepasswort Debug-Mode bei Android 39

40 Gezielte Angriffe DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk Mandiant APT1 Report Abteilung des chinesischen Militärs Gebäudekomplex mit qm auf 12 Stockwerken in Shanghai vermutete Mitarbeiter eigene Malware, Tools etc. durchschnittliche Dauer des Zugriffs 1 Jahr, oft auch mehrere Jahre 2010 iphones, ipads, Android, 2011, 2012 APTs, DDoS Mitigation, VoIP Sec 40

41 Gezielte Angriffe DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk HB Gary Federal Vergeltungsaktion von Anonymous Einbruch über SQL-Injection in ein CMS, Extraktion von Usernamen und Passworthashes, Passwortcracking, SSH- Zugang zu Support-Server, wiederverwendete Passwörter Veröffentlichung der Mail-Datenbank von HB Gary im Internet 2010 iphones, ipads, Android, 2011, 2012 APTs, DDoS Mitigation, VoIP Sec 41

42 Gezielte Angriffe Sandbox-Analyse Internet DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration DMZ-Struktur Span / Tap Inline GW ICAP Sensor für eingehenden Code und / oder ausgehende Kommunikation 2009 IT-GRC, Cloud GSM, Funk 2010 iphones, ipads, Android, LAN Management Analyse 2011, 2012 APTs, DDoS Mitigation, VoIP Sec 42

43 Gezielte Angriffe Sandbox-Analyse DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 2011, 2012 APTs, DDoS Mitigation, VoIP Sec Ergebnisse der Tests im Rahmen einer Bachelor-Thesis mit eigener Test- Malware Verschlüsselter Content Entpackt mehrere Dateien (Exe + DLL) DLL Injection / Ausführung eines Keyloggers Tarnfunktionen Verschlüsselung Schlafen für 10 Minuten in Einzelsekunden Ergebnis Maleware von keinem der Markführer mehr erkannt 43

44 Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 2011, APTs, DDoS Mitigation, VoIP Sec Virtualisierung Incident Response 2004 BYOD / CYOD / BYOS 2013, 2014 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM Mikrovirtualisierung Cloud Usage WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung Perimeter-Sicherheit Firewalls Content Security Gateways Anti-Spam, USB Device- Kontrolle 44

45 Ausblick: Isolation statt Erkennung mit Microvirtualisierung von Bromium Desktop Gegegseitige Isolierung der nicht vertrauenswürdigen Tasks vom Betriebssystem und voneinander Untrusted Tasks 2011, 2012 APTs, DDoS Mitigation, VoIP Sec 2013, 2014 Microvirtualisierung Cloud-Usage 45

46 2008 Mit allen diesen Themen sind Sie heute konfrontiert! Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 2011, APTs, DDoS Mitigation, VoIP Sec Virtualisierung 2004 BYOD / CYOD / BYOS 2013, 2014 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM Microvirtualisierung Cloud-Usage WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung Perimeter-Sicherheit Firewalls Content Security Gateways Anti-Spam, USB Device- Kontrolle 46

47 Der richtige Weg Sicherheit als Management-Aufgabe Etablierung eines ISMS Rollen, Verantwortlichkeiten, Prozesse Selbst wenn es einfach und pragmatisch ist Wichtig sind dabei strukturiertes Vorgehen und Nachvollziehbarkeit Zentrale Disziplin: Risikomanagement in der Informationssicherheit 47

48 Typische Aufgaben im ISMS Was sind meine zu schützenden Werte? Welchen Schutzbedarf haben wir? Risikoanalyse Welche Bedrohungen sind für uns relevant? Welche Auswirkungen hätten diese Bedrohungen? Auswahl von angemessenen Maßnahmen Reduzierung der Risiken auf ein akzeptables Niveau Welche Schwachstellen haben wir? Von Penetrationstests bis Verwundbarkeits-Management Etablierung von Sicherheitsstandards Policies und Richtlinien Sensibilisierung der Mitarbeiter / Kollegen 48

49 Vielen Dank!

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Moderner Schutz gegen aktuelle Bedrohungen

Moderner Schutz gegen aktuelle Bedrohungen Moderner Schutz gegen aktuelle Bedrohungen Die Lösungen der PROFI AG Die Lösungen der PROFI AG Firewall Protection Content Security Data Encryption Security Services IT-Security von PROFI Sind Sie schon

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

Erkennung von und Umgang mit mehrstufigen komplexen Angriffsszenarien. Effiziente Lösungen bei der Abwehr von Angriffen auf das Netzwerk

Erkennung von und Umgang mit mehrstufigen komplexen Angriffsszenarien. Effiziente Lösungen bei der Abwehr von Angriffen auf das Netzwerk Erkennung von und Umgang mit mehrstufigen komplexen Angriffsszenarien Basisschutz erweitern! Effiziente Lösungen bei der Abwehr von Angriffen auf das Netzwerk Dr. Roland Kaltefleiter rk@netuse.de https://www.netuse.de/

Mehr

Mobile Security. Evren Eren, Kai-Oliver Detken. Risiken mobiler Kommunikation und Lösungen zur mobilen Sicherheit ISBN 3-446-40458-9

Mobile Security. Evren Eren, Kai-Oliver Detken. Risiken mobiler Kommunikation und Lösungen zur mobilen Sicherheit ISBN 3-446-40458-9 Mobile Security Evren Eren, Kai-Oliver Detken Risiken mobiler Kommunikation und Lösungen zur mobilen Sicherheit ISBN 3-446-40458-9 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40458-9

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Der virtualisierte Anwender:

Der virtualisierte Anwender: P R Ä S E N T I E R T Der virtualisierte Anwender: Virtualisierung und Sicherheit des End User Environments Der Weg zur Lösung Ein Beitrag von Peter H.Kuschel Vertriebsleiter XTRO IT Solutions GmbH - Ismaning

Mehr

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 IT HEUTE UND MORGEN Die Welt im Netz Das Netz wird wichtiger als der Knoten Prozesse statt Computer Cloud, Cloud,

Mehr

IT Security Investments 2003

IT Security Investments 2003 Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen. Stefan Strobel cirosec GmbH Heilbronn

Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen. Stefan Strobel cirosec GmbH Heilbronn Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen Stefan Strobel cirosec GmbH Heilbronn Agenda Vorstellung Angriffsszenarien und Beispiele Zusammenfassung Wer ist cirosec? Eine kleine Firma

Mehr

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Dr. Ralf Stodt Senior Consultant Business Development, CISSP Endpoint Security & IAM www.integralis.com Absicherung

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de Apple iphone und ipad im Unternehmen Ronny Sackmann ronny.sackmann@cirosec.de Agenda Einführung Bedrohungen Integrierte Schutzfunktionen Sicherheitsmaßnahmen Zentrale Verwaltungswerkzeuge Zusammenfassung

Mehr

BYOD im Unternehmen Unterwegs zur sicheren Integration

BYOD im Unternehmen Unterwegs zur sicheren Integration BYOD im Unternehmen Unterwegs zur sicheren Integration 15. ISSS Berner Tagung für Informationssicherheit «Bring your own device: Chancen und Risiken» 27. November 2012, Allegro Grand Casino Kursaal Bern

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten Klaus J. Müller, Senior IT Architekt 7. Tag der IT-Sicherheit, 19. Mai 2015, Karlsruhe Inhalt Über Ziele Stolperfallen

Mehr

Wie kann ich Filialen, Tablet-Benutzer und mobile Mitarbeiter sicher anbinden?

Wie kann ich Filialen, Tablet-Benutzer und mobile Mitarbeiter sicher anbinden? Wie kann ich Filialen, Tablet-Benutzer und mobile Mitarbeiter sicher anbinden? Fachvortrag anlässlich der perspektive.it am 12. Mai 2016 in der Villa Belgrano, Boppard Referent: Wolfgang Heck (Geschäftsführer

Mehr

Postfinance Sicherheitsfrühstück 27.3.2013 Unterwegs sicher vernetzt

Postfinance Sicherheitsfrühstück 27.3.2013 Unterwegs sicher vernetzt Postfinance Sicherheitsfrühstück 27.3.2013 Unterwegs sicher vernetzt Bedrohungen Herausforderungen Schutzmöglichkeiten für mobiles E-Banking Cnlab AG Engineering-Firma, Sitz Rapperswil (SG) Schwerpunkte

Mehr

Sicherheit wird messbar Lösungsansätze und Methoden. Email Case. 15. September 2009, Hotel St. Gotthard, Zürich

Sicherheit wird messbar Lösungsansätze und Methoden. Email Case. 15. September 2009, Hotel St. Gotthard, Zürich Sicherheit wird messbar Lösungsansätze und Methoden Email Case 15. September 2009, Hotel St. Gotthard, Zürich ActiveSync Div. Email Landschaft PeerToPeer -USB -Bluetooth Smart phone Netzwerk - Ethernet

Mehr

Implementierung einer Check Point 4200 Appliance Next Generation Threat Prevention (NGTP)

Implementierung einer Check Point 4200 Appliance Next Generation Threat Prevention (NGTP) Projekthistorie 08/2014-09/2014 Sicherheitsüberprüfung einer Kundenwebseite auf Sicherheitslücken Juwelier Prüfung der Kundenwebseite / des Online-Shops auf Sicherheitslücken Penetration Tester Sicherheitsüberprüfung

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant Die Kunst des Krieges Parallelen zu Cybercrime Michael Simon, Security Consultant Die größte Verwundbarkeit ist die Unwissenheit. Quelle: Sun Tzu, Die Kunst des Krieges 2 Agenda Kenne Dich selbst Schwachstelle,

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte Sichere Integration mobiler Endgeräte ÜBERSICHT PROFI MOBILE SERVICES.mobile PROFI Mobile Business Agenda Workshops Themen Business Case Design Business Case Zielgruppe / -markt Zielplattform BPM fachlich

Mehr

Cloud Services und Mobile Workstyle. Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix.

Cloud Services und Mobile Workstyle. Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix. Cloud Services und Mobile Workstyle Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix.com Mobile Workstyles Den Menschen ermöglichen, wann, wo und wie sie

Mehr

10.15 Frühstückspause

10.15 Frühstückspause 9:00 Begrüßung und Vorstellung der Agenda 9:15 10.15 Datenschutz, Compliance und Informationssicherheit: Wie halten Sie es mit Ihren Daten? Aktuelle Herausforderungen für mittelständische Unternehmen Thomas

Mehr

Komplettlösung aus einer Hand Firewall, Standortvernetzung, sicherer externer Zugriff über PCs, Notebooks und Tablets

Komplettlösung aus einer Hand Firewall, Standortvernetzung, sicherer externer Zugriff über PCs, Notebooks und Tablets Komplettlösung aus einer Hand Firewall, Standortvernetzung, sicherer externer Zugriff über PCs, Notebooks und Tablets Fachvortrag anlässlich des IT-Events perspektive.it am 11. September 2014 in der Villa

Mehr

SGRP Frühlingsveranstaltung 2007

SGRP Frühlingsveranstaltung 2007 SGRP Frühlingsveranstaltung 2007 InfoGuard AG und Ihre Informationen sind sicher. InfoGuard AG und Ihre Informationen sind sicher. Thomas Meier Geschäftsführer, InfoGuard AG InfoGuard AG Feldstrasse 1

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Mission Critical Mobile Solutions

Mission Critical Mobile Solutions Mission Critical Mobile Solutions Anwendungsmöglichkeiten sowie Sicherheitsaspekte im Bereich Mobility und Situational Awareness Dipl.-Ing. Rainer Halanek Dr. Dan Temmer FREQUENTIS 2012 Datum: 2012-06-05

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Digicomp Hacking Day 2013 Erfahrungen aus über 10 Jahren Audits. 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 Erfahrungen aus über 10 Jahren Audits. 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned Andreas Wisler, CEO GO OUT Production GmbH 1 Fakten Hacker haben den Weg ins Internet gefunden Quelle: Schweizer Familie 40/11 Fakten 2012: 93 150

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Track 1: BYOD Do s and Dont s für KMU. Mark Semmler, Antago GmbH Stefan Rüeger, Studerus AG

Track 1: BYOD Do s and Dont s für KMU. Mark Semmler, Antago GmbH Stefan Rüeger, Studerus AG Track 1: BYOD Do s and Dont s für KMU Mark Semmler, Antago GmbH Stefan Rüeger, Studerus AG Agenda Überblick WLAN: MultiSSID und VLAN WLAN: 802.1x-User-Authentication WLAN: L2TP-VPN Wired-LAN: Port-Security

Mehr

IT-Sicherheit Prof. Dr. Claudia Eckert

IT-Sicherheit Prof. Dr. Claudia Eckert IT-Sicherheit Prof. Dr. Claudia Eckert Technische Universität München Organisatorisches: Vorlesung 3 SWS, Übung 1 SWS: 5 Credit-Points Mi 16:00-17:30 MI HS2 (Vorlesung) Do 16:15-17:00 MI HS2 (Vorlesung)

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

Info-Veranstaltung Sicherheit im Netz

Info-Veranstaltung Sicherheit im Netz Info-Veranstaltung Sicherheit im Netz Zusatz für gewerbliche Anwender Senioren Computer Club Bad Endbach Förderverein Jeegels Hoob Gewerbeverein Bad Endbach Christian Schülke Bad Endbach, 26.02.2008 Agenda

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Datenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011

Datenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011 Datenbanksicherheit Überwachung und Kontrolle Dr. Ing. Oriana Weber 07/06/2011 Agenda Leitfragen Warum sind Datenbanken attraktive Ziele? Klassifizierung von DB Sicherheitsrisiken Die Komplexität der Steuerung

Mehr

Die IT Sicherheit der BEKB BCBE

Die IT Sicherheit der BEKB BCBE Die IT Sicherheit der BEKB BCBE 2. Mai 2006 - Folie 1-03.05.2006 15:20 Aufbau Internet Benutzer Internet Web Server HOST Grossrechner und Server - Folie 2-03.05.2006 15:20 1 Kunden der BEKB im Internet

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Firewall Szenarien für Unternehmen. Agenda

Firewall Szenarien für Unternehmen. Agenda Firewall Szenarien für Unternehmen Daniel Beuchler Agenda Herausforderung Netzwerksicherheit in Unternehmen Bausteine moderner Firewallsysteme Architekturen für unterschiedlichen Sicherheitsbedarf Security

Mehr

ITIL Trainernachweise

ITIL Trainernachweise ITIL Trainernachweise Allgemein: Akkreditierung als ITIL -Trainer für Foundation, Service Strategy, Service Design, Service Transition, Service Operation, CSI, Managing across the Lifecycle (MALC) Akkreditierung

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

IBM Security Systems: Intelligente Sicherheit für die Cloud

IBM Security Systems: Intelligente Sicherheit für die Cloud : Intelligente Sicherheit für die Cloud Oliver Oldach Arrow ECS GmbH 2011 Sampling of Security Incidents by Attack Type, Time and Impact Conjecture of relative breach impact is based on publicly disclosed

Mehr

BYOD: Sicherer Zugriff auf das Unternehmensnetz und Verwaltung der Mobiles

BYOD: Sicherer Zugriff auf das Unternehmensnetz und Verwaltung der Mobiles Pallas Security Colloquium BYOD: Sicherer Zugriff auf das Unternehmensnetz und Verwaltung der Mobiles 16.10.2013 Referent: Stephan Sachweh Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße 8a

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Security in Zeiten von Internet der Dinge. Udo Schneider Security Evangelist DACH

Security in Zeiten von Internet der Dinge. Udo Schneider Security Evangelist DACH Security in Zeiten von Internet der Dinge Udo Schneider Security Evangelist DACH Trend Micro Unsere Aktivitäten Unsere Methoden Unser Profil Anerkannter weltweit führender Anbieter von Server-, Cloudund

Mehr

Hacking Day 2014 Datenschutz

Hacking Day 2014 Datenschutz Defense in Depth und Security Prozesse am Beispiel von Heartbleed Yves Kraft Senior Security Consultant OneConsult GmbH 11. Juni 2014 Agenda Vorstellung Einleitung Beispiele/Demo Gegenmassnahmen Fazit

Mehr

Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten

Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten Siemens Enterprise Communications Group Volker Burgers, Consultant Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten Version 1 Seite 1 BS MS Consulting & Design

Mehr

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL

CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL BEISPIELE WELTWEIT ERFOLGREICHER CYBER-ANGRIFFER JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen Softwareentwicklern wurden infiziert

Mehr

Smartphones, Pads, Apps, Socialnetworks und Co

Smartphones, Pads, Apps, Socialnetworks und Co @-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Smartphones, Pads, Apps, Socialnetworks und Co Neue Gefahren für die Informationssicherheit @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49

Mehr

04.06.2013. Mobile Business. SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs?

04.06.2013. Mobile Business. SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs? 04.06.2013 Mobile Business SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs? Kurze Vorstellung Mobile Geräte: Herausforderungen Mobile Geräte: Sicherheit Realisierungsbeispiel Fragen & Antworten

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Mobile Security. Astaro 2011 MR Datentechnik 1

Mobile Security. Astaro 2011 MR Datentechnik 1 Mobile Astaro 2011 MR Datentechnik 1 Astaro Wall 6 Schritte zur sicheren IT Flexibel, Einfach und Effizient Enzo Sabbattini Pre-Sales Engineer presales-dach@astaro.com Astaro 2011 MR Datentechnik 2 Integration

Mehr

Welcome to Sicherheit in virtuellen Umgebungen

Welcome to Sicherheit in virtuellen Umgebungen Welcome to Sicherheit in virtuellen Umgebungen Copyright Infinigate 1 Inhalt Sicherheit in virtuellen Umgebungen Was bedeutet Virtualisierung für die IT Sicherheit Neue Möglichkeiten APT Agentless Security

Mehr

MEET THE IT- SECURITY WIZARDS

MEET THE IT- SECURITY WIZARDS MEET THE IT- SECURITY WIZARDS MEET THE IT-SECURITY 2011 WIZARDS 2011 I T - D E F E N S E MEET THE IT-SECURITY WIZARDS Willkommen IT-DEFENSE 2011 IT-DEFENSE Benvenutó 2011 Welcome IT-DEFENSE 2011 Tervetuloa

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

Inhaltsverzeichnis. Mobile Device Management 11 Vorwort und Einleitung 11

Inhaltsverzeichnis. Mobile Device Management 11 Vorwort und Einleitung 11 Inhaltsverzeichnis Mobile Device Management 11 Vorwort und Einleitung 11 1 Mobile Device Management Eine Übersicht 13 1.1 Mobile Endgeräte 13 1.2 Smartphones, Pads und Tablet-Computer 14 1.3 Betriebssysteme

Mehr

Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co.

Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co. Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co. Carsten Hoffmann Presales Manager City Tour 2011 1 Sicherheitskonzepte in Zeiten von Epsilon, RSA, HBGary, Sony & Co. Carsten Hoffmann Presales

Mehr

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_20201505 PROAKTIVER SCHUTZ FÜR IHRE DATEN Nur eine Firewall, die kontinuierlich

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Anforderungen und Umsetzung einer BYOD Strategie

Anforderungen und Umsetzung einer BYOD Strategie Welcome to Anforderungen und Umsetzung einer BYOD Strategie Christoph Barreith, Senior Security Engineer, Infinigate Copyright Infinigate 1 Agenda Herausforderungen Umsetzungsszenarien Beispiel BYOD anhand

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Sicherheitsaspekte beim Mobile Computing

Sicherheitsaspekte beim Mobile Computing Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte

Mehr

IT Security Dienstleistungen 1

IT Security Dienstleistungen 1 IT SECURITY DIENSTLEISTUNGEN Themen-Übersicht 1 Inhalt USP Security Framework Network Security Application Security Organisation Rollen Seite 2 2 USP Security Framework Network Security Application & System

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

Sind Cloud Apps der nächste Hype?

Sind Cloud Apps der nächste Hype? Java Forum Stuttgart 2012 Sind Cloud Apps der nächste Hype? Tillmann Schall Stuttgart, 5. Juli 2012 : Agenda Was sind Cloud Apps? Einordnung / Vergleich mit bestehenden Cloud Konzepten Live Demo Aufbau

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Was eine WAF (nicht) kann. Ausgabe 2013

Was eine WAF (nicht) kann. Ausgabe 2013 Was eine WAF (nicht) kann. Ausgabe 2013 Mirko Dziadzka http://mirko.dziadzka.de/ @MirkoDziadzka OWASP Stammtisch München - 19.11.2013 1 / 27 Inhalt Worum soll es heute gehen Meine (subjektive) Meinung

Mehr

IT Sicherheit: Lassen Sie sich nicht verunsichern

IT Sicherheit: Lassen Sie sich nicht verunsichern IT Sicherheit: Lassen Sie sich nicht verunsichern Guido Bunsen IT Manager Security IT Center AGENDA Betrieb von Firewalls Webfilter E-Mail-Filter Netzwerküberwachung / Blast-O-Mat Virenschutz-Software

Mehr

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09. MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information

Mehr