Agenda. Über cirosec Themen der IT-Sicherheit. Ausblick Die richtige Vorgehensweise

Größe: px
Ab Seite anzeigen:

Download "Agenda. Über cirosec Themen der IT-Sicherheit. Ausblick Die richtige Vorgehensweise"

Transkript

1 IT Sicherheit heute

2 Agenda Über cirosec Themen der IT-Sicherheit Wann / wie sie entstanden sind Die jeweilige Bedrohungslage heute Moderne Maßnahmen Ausblick Die richtige Vorgehensweise 2

3 Wer ist cirosec? Innovative Firma mit Fokus auf IT-Sicherheit Konzepte, Reviews und Analysen Management-Beratung ISO 27001, Risikomanagement Audits und Penetrationstests Incident Response und Forensik Implementation von Produkten und Lösungen Konzepte, neutrale Evaluationen und Umsetzungen Schulungen Wir leben vom Knowhow unserer Mitarbeiter Erfahrene Spezialisten, Buchautoren 3

4 Veröffentlichung und Vorträge Diverse Fachbücher Artikel vor allem ix und ct, aber auch Computerzeitung, Computerwoche, IT-Sicherheit usw. z. B.: ix Sonderheft Security Viele Vorträge auf Konferenzen In Deutschland aber auch im Ausland

5 Unsere Kunden Banken, Versicherungen Automobil Chemie / Pharma Handel Energie 5

6 IT-Defense Der cirosec Security- Kongress Seit Januar 2004 jedes Jahr mit ca. 200 Teilnehmern Fachvorträge von international bekannten Experten wie Bill Cheswick, Simon Singh Bruce Schneier, Fyodor, Marty Roesch Marcus Ranum, Clifford Stoll, Renaud Deraison Joanna Rutkowska, Phil Zimmermann Vietse Venema, Kevin Mitnick, Barnaby Jack, Adam Laurie Karsten Nohl, Starbug, FX, Johnny Long Saumil Shah, Halvar Flake Joe Grand, Cesar Cerrudo, Mark Behnecke uvm.

7 IT-Defense bis 6. Februar - The Westin Leipzig Bruce Schneier Bill Cheswick Fernando Gont Leo Marti Rahul Kashyap Sandro Gayken Jeremiah Grossman Ross Anderson

8 Trainings & Seminare 3 bzw. 4 Tage Hands On Trainings Realistische Szenarien aus der Praxis Viele Übungen Max. 15 Teilnehmer, je 1 Notebook (nicht bei ISO Trainings) Hacking Extrem Firewall und IDS Evading Buffer Overflows und Format-String-Fehler Spoofing / Sniffing / Hijacking Rootkits (klassisch, LKM s) DLL-Injection... Hacking Extrem Web Applikationen Cross Site Scripting, Command Injection SQL Injection, Session Fixation, Cookies, Durchgriff aufs Betriebssystem Authentisierung und Autorisierung Forensik Extrem Incident Response Spurensicherung und Analyse Plattenanalyse und Hauptspeicher Juristische Aspekte Härtung und sichere Konfiguration Härtung und sichere Konfiguration Windows, Terminalserver Unix / Linux Apache, Tomcat, Certified ISO Lead Auditor Einführung ISMS, ISO Planung und Durchführung eines Audits, Follow Up Zertifizierungsprüfung Certified ISO Lead Implementer Einführung ISMS, ISO Implementierung und Management eines ISMS Zertifizierungsprüfung

9 Neue Trainings in 2014/15 Crashkurs IT- und Informationssicherheit Theoretische und praktische Grundlagen Bedrohungslage für Unternehmen Sicherheitsmanagement Passende Maßnahmen Zielgruppe sind Einsteiger im Bereich der IT- Sicherheit und Manager Certified ISO Incident Management Informationssicherheitsvorfälle feststellen, berichten und bewerten Auf Informationssicherheitsvorfälle reagieren und sie bewältigen Informationssicherheitslücken feststellen, bewerten und schließen Kontinuierliche Verbesserung der Informationssicherheit und des Incident Managements durch die Bewältigung von Informationssicherheitsvorfällen und -lücken

10 cirosec Trend Tage Kostenlose Veranstaltungsreihe München, Stuttgart, Köln, Frankfurt Vorstellung neuer Trends, Technologien und Produkten 2002: WAFs, Host-IPS, Audit-Tools, Daten 2003: IDS/IPS, WAFs, Corba u. SOAP, Audits 2004: IPS, Mapping, Verwundbarkeits Mgnt 2005: WAFs, Wireless u. Mobile Sec., DB Sec 2006: Sensible Daten, Forensik, Patch Mgnt 2007: Verwundbarkeits Mgnt, Kennzahlen 2008: Source-Analyse, IDS, SIM, DLP, VulnMgnt 2009: Incident Response, IT-GRC, Admin. Nachvollz. 2010: Applikationssicherheit, Prüfwerkzeuge, Zert-Mgnt 2011: Verwundbarkeits- und Risikomanagement 2012: ByoD, Auditierung, APTs, ddos 2013: NAC, APTs, Nachvollziehbarkeit, Cloud 2014: Schutz des Browsers, BYOD, NAC 10

11 Unser Angebot Konzepte, Reviews und Analysen Management-Beratung ISO 27001, Risikomanagement, Prozesse, Policies, Richtlinien, Audits und Penetrationstests Applikationen, Geräte, Netzwerke, Quellcode, Social Engineering Incident Response und Forensik Implementation von Produkten und Lösungen Konzepte, neutrale Evaluationen und Umsetzungen Schulungen 11

12 Audits / Penetrationstests von cirosec Mehr als die Hälfte der Berater machen primär Audits und Penetrationstests sehr hoher Erfahrungsschatz, Kompetenz Wir finden oft kritische Schwachstellen, die andere Prüfer übersehen Verständliche Berichte mit sinnvollen Bewertungen und Empfehlungen Management Summary, technisches Summary, Erklärungen, Empfehlung von Maßnahmen Qualitätsmanagement im Bereich Prüfung 12

13 Aktuelle Technologien / Bereiche Moderne Schutzmaßnahmen WAFs, Schutz vor DDoS und gezielten Angriffen bzw. APTs Sicherheit im internen Netz LAN Zugangskontrolle, 802.1x, NAC/NAP, IPS, Flow-Analyse BYOD, Mobile Security, Wireless Security iphones, ipads, Android, sichere Apps, Sensible Daten Von DLP und Klassifikation bis zum sicheren Austausch Prüfwerkzeuge Applikationen, Datenbanken, Infrastruktur, Quellcode Security Management Werkzeuge für ISMS, Verwundbarkeits- und Risiko-Management Nachvollziehbarkeit administrativer Zugriffe Externe Administration, Protokollierung 13

14 Der rote Faden: Themen der IT Security im Rückblick ? , ,

15 Perimeter-Sicherheit Internet Kontrolle der Verbindungen zwischen innen und außen Firewall- Filter Proxies Internes Netz 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 15

16 Perimeter-Sicherheit HA-FW Mgnt Internet Proxies Kontrolle der Verbindungen zwischen innen und außen Einstufig oder mehrstufig Eventuell mit hoher Verfügbarkeit (Cluster) Next Generation Firewalls? 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 16

17 RAS, VPN, Starke Authentisierung Von Remote-Einwahl mit Modems und ISDN zu verschlüsselten VPN-Verbindungen über das Internet Internet Ist das wirklich unser Mitarbeiter? VPN-Gateway Firewall-Filter VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 17

18 RAS, VPN, Starke Authentisierung Passwörter Waren und sind oft trivial -> Vorgaben zur Komplexität / Länge Wurden nie geändert -> Vorgaben zur Änderung VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 18

19 Authentisierung heute Besitz an vorhandene Geräte binden? Smartphone mit Crypto-Chips Notebooks mit TPM Biometrie wird in der Regel nicht als Sicherheitsgewinn betrachtet Umdenken bei Passwörtern Forderung zur regelmäßigen Änderung führt meist nicht zu höherer Sicherheit Mehrfache Verwendung von Passwörtern auf externen Systemen viel kritischer VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 19

20 Intrusion Detection / Prevention IDS / IPS Gateway 1998 IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung Individuelle Malware, gezielte Angriffe? 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 20

21 PKI, Zertifikate, Smartcards PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 21

22 PKI, Zertifikate, Smartcards Zertifikate heute: SSL (Webserver) Neuer Bedarf bei Smartphones / Tablets Und nach wie vor Mail-Verschlüsselung, Authentisierung, Aktuelle Herausforderungen: PKI-Aufbau, falls noch nicht vorhanden Integration in moderne Systeme Z.B. MDM Z.B. Zertifikats-Wildwuchs im IT-Betrieb Self signed, vom Hersteller vorinstalliert, PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 22

23 Device bzw. USB-Port Kontrolle Automatisch startende Malware? LAN PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 23

24 Applikationssicherheit Angreifer Internet bösartige Inhalte in Daten (URLs, Formulare, Cookies) Angriffe auf die individuelle Webanwendung Angriffe auf den Applikationsserver Angriffe auf den Webserver 2003 Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle Web- oder Applikationsserver 1999 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens LAN 1998 IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 24

25 Applikationssicherheit heute Web Application Firewalls (WAFs) Auch neuere Varianten Cloud-Optionen Honey-Tokens Penetrationstests Neue sinnvolle Standards z.b. ASVS 2.0 Entwicklungsrichtlinien Für eigene Entwickler (Sensibilisierung!) Aber auch Dienstleister / Agenturen! Oft fehlt dies noch für Apps Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 25

26 Verwundbarkeits-Management Regelmäßige automatisierte Ermittlung der offensichtlichen Schwachstellen Netzwerk- bzw. Applikationsscanner Bewertung im Unternehmenskontext 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 26

27 Wireless LANs Heutige Themen bei WLANs Probleme mit alten Geräten z.b. in der Logistik Neue Probleme mit WPS Unsichere Konfigurationen Mobile Endgeräte sog. Probe Requests 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung Für zu Hause ohne Zertifikate: zumindest WPA2 (PSK) mit langen und komplexen Schlüsseln (Passwörtern). WPS deaktivieren Perimeter-Sicherheit Firewalls Content Security Gateways 27

28 Endgeräte-Sicherheit / Host-IPS Endgeräte-Sicherheit Kein neues Thema, sondern immer schon parallel zur Netzwerksicherheit präsent ( Defense in Depth ) Ziel: Angriffe auf dem Endgerät selbst verhindern Auch wenn ein PC über ein Netzwerk erreichbar ist Frühe Methoden: 2005 Host IPS DB / XML FWs Virenschutz auf dem Arbeitsplatz-PC 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt Personal Firewalls als Adaption von Perimeter-Firewalls 2003 Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle 28

29 Endgeräte-Sicherheit heute 2005 Host IPS DB / XML FWs 2004 Neue Betriebssysteme machen einen großen Unterschied Windows 7 oder 8 macht es Angreifern sehr viel schwerer Firewalls, Virenschutz etc. schon Teil der heutigen Betriebssysteme Windows XP sollte dringend abgeschaltet werden Whitelisting und Port-Kontrolle gelegentlich ein Thema Renaissance von Host IPS und Sandboxing Neuer Trend: Mikrovirtualisierung Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt 2003 Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle 29

30 SIEM 2005 Host IPS DB / XML FWs Zentrale Sammlung von Protokolldaten 2004 Automatisierte Auswertung zur Erkennung von Angriffen Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 30

31 Netzwerk-Zugangskontrolle Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze Kann jeder unbeaufsichtigte Besucher sein Notebook ins Netzwerk einstecken? 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens LAN 1998 IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung Heute: PwnPlug etc Perimeter-Sicherheit Firewalls Content Security Gateways 31

32 sensible Daten 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze Was sind unsere kritischen Daten? 2004 Wie verhindern wir, dass diese in falsche Hände geraten? Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS Anti-Spam, USB Device- Kontrolle VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 32

33 2008 Themen der IT Security: Nachvollziehbarkeit Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration 2005 Virtualisierung 2004 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 Anti-Spam, USB Device- Kontrolle PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens Wer war Administrator? Was hat er gemacht? 1998 IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung 1995 Perimeter-Sicherheit Firewalls Content Security Gateways 33

34 RFID und andere Funk-Systeme 2006 NAC, NAP, Quarantäne Netze ComOnAir: ca DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration 2009 IT-GRC, Cloud GSM, Funk Proxmark3: ca. 240 USRP: ca

35 Smartphones und Tablets 2006 NAC, NAP, Quarantäne Netze iphones im WLAN Hotspot 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 35

36 Smartphones und Tablets 2006 NAC, NAP, Quarantäne Netze 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 36

37 Smartphones und Tablets 2006 NAC, NAP, Quarantäne Netze 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 37

38 Smartphones und Tablets 2006 NAC, NAP, Quarantäne Netze 2007 DLP / EPS Netz / Host DLP Neue IDS / IPS 2008 Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 38

39 Smartphones und Tablets NAC, NAP, Quarantäne Netze DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, Komplettes Auslesen von Smartphones / Tablets: Beispiel iphone 4 oder älter Starten eines Live-Betriebssystems mittels Softwareschwachstellen im BootROM Diebstahl aller unverschlüsselten Daten Diebstahl verschlüsselter Daten mittels Brute-Force-Angriff auf das Gerätepasswort Debug-Mode bei Android 39

40 Gezielte Angriffe DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk Mandiant APT1 Report Abteilung des chinesischen Militärs Gebäudekomplex mit qm auf 12 Stockwerken in Shanghai vermutete Mitarbeiter eigene Malware, Tools etc. durchschnittliche Dauer des Zugriffs 1 Jahr, oft auch mehrere Jahre 2010 iphones, ipads, Android, 2011, 2012 APTs, DDoS Mitigation, VoIP Sec 40

41 Gezielte Angriffe DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk HB Gary Federal Vergeltungsaktion von Anonymous Einbruch über SQL-Injection in ein CMS, Extraktion von Usernamen und Passworthashes, Passwortcracking, SSH- Zugang zu Support-Server, wiederverwendete Passwörter Veröffentlichung der Mail-Datenbank von HB Gary im Internet 2010 iphones, ipads, Android, 2011, 2012 APTs, DDoS Mitigation, VoIP Sec 41

42 Gezielte Angriffe Sandbox-Analyse Internet DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration DMZ-Struktur Span / Tap Inline GW ICAP Sensor für eingehenden Code und / oder ausgehende Kommunikation 2009 IT-GRC, Cloud GSM, Funk 2010 iphones, ipads, Android, LAN Management Analyse 2011, 2012 APTs, DDoS Mitigation, VoIP Sec 42

43 Gezielte Angriffe Sandbox-Analyse DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 2011, 2012 APTs, DDoS Mitigation, VoIP Sec Ergebnisse der Tests im Rahmen einer Bachelor-Thesis mit eigener Test- Malware Verschlüsselter Content Entpackt mehrere Dateien (Exe + DLL) DLL Injection / Ausführung eines Keyloggers Tarnfunktionen Verschlüsselung Schlafen für 10 Minuten in Einzelsekunden Ergebnis Maleware von keinem der Markführer mehr erkannt 43

44 Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 2011, APTs, DDoS Mitigation, VoIP Sec Virtualisierung Incident Response 2004 BYOD / CYOD / BYOS 2013, 2014 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM Mikrovirtualisierung Cloud Usage WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung Perimeter-Sicherheit Firewalls Content Security Gateways Anti-Spam, USB Device- Kontrolle 44

45 Ausblick: Isolation statt Erkennung mit Microvirtualisierung von Bromium Desktop Gegegseitige Isolierung der nicht vertrauenswürdigen Tasks vom Betriebssystem und voneinander Untrusted Tasks 2011, 2012 APTs, DDoS Mitigation, VoIP Sec 2013, 2014 Microvirtualisierung Cloud-Usage 45

46 2008 Mit allen diesen Themen sind Sie heute konfrontiert! Host IPS DB / XML FWs NAC, NAP, Quarantäne Netze DLP / EPS Netz / Host DLP Neue IDS / IPS Nachvollziehbarkeit in der Administration IT-GRC, Cloud GSM, Funk iphones, ipads, Android, 2011, APTs, DDoS Mitigation, VoIP Sec Virtualisierung 2004 BYOD / CYOD / BYOS 2013, 2014 Verwundbarkeits-Mgnt Enterprise Scanning Exposure Risc Mgnt Patch Mgnt SIM / SEM / SIEM Microvirtualisierung Cloud-Usage WLANs Applikations-Sicherheit Web Application Firewalls Web Scanner 2002 PKI Hype Mail-Verschlüsselung SmartCards, USB-Tokens IDS, IPS Netz-IDS / IPS VPN-Verschlüsselung Authentisierung Perimeter-Sicherheit Firewalls Content Security Gateways Anti-Spam, USB Device- Kontrolle 46

47 Der richtige Weg Sicherheit als Management-Aufgabe Etablierung eines ISMS Rollen, Verantwortlichkeiten, Prozesse Selbst wenn es einfach und pragmatisch ist Wichtig sind dabei strukturiertes Vorgehen und Nachvollziehbarkeit Zentrale Disziplin: Risikomanagement in der Informationssicherheit 47

48 Typische Aufgaben im ISMS Was sind meine zu schützenden Werte? Welchen Schutzbedarf haben wir? Risikoanalyse Welche Bedrohungen sind für uns relevant? Welche Auswirkungen hätten diese Bedrohungen? Auswahl von angemessenen Maßnahmen Reduzierung der Risiken auf ein akzeptables Niveau Welche Schwachstellen haben wir? Von Penetrationstests bis Verwundbarkeits-Management Etablierung von Sicherheitsstandards Policies und Richtlinien Sensibilisierung der Mitarbeiter / Kollegen 48

49 Vielen Dank!

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen. Stefan Strobel cirosec GmbH Heilbronn

Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen. Stefan Strobel cirosec GmbH Heilbronn Live-Hacking 2.0 Aktuelle Angriffstechniken auf Web-Applikationen Stefan Strobel cirosec GmbH Heilbronn Agenda Vorstellung Angriffsszenarien und Beispiele Zusammenfassung Wer ist cirosec? Eine kleine Firma

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Der virtualisierte Anwender:

Der virtualisierte Anwender: P R Ä S E N T I E R T Der virtualisierte Anwender: Virtualisierung und Sicherheit des End User Environments Der Weg zur Lösung Ein Beitrag von Peter H.Kuschel Vertriebsleiter XTRO IT Solutions GmbH - Ismaning

Mehr

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte Sichere Integration mobiler Endgeräte ÜBERSICHT PROFI MOBILE SERVICES.mobile PROFI Mobile Business Agenda Workshops Themen Business Case Design Business Case Zielgruppe / -markt Zielplattform BPM fachlich

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 IT HEUTE UND MORGEN Die Welt im Netz Das Netz wird wichtiger als der Knoten Prozesse statt Computer Cloud, Cloud,

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Hacking Day 2014 Datenschutz

Hacking Day 2014 Datenschutz Defense in Depth und Security Prozesse am Beispiel von Heartbleed Yves Kraft Senior Security Consultant OneConsult GmbH 11. Juni 2014 Agenda Vorstellung Einleitung Beispiele/Demo Gegenmassnahmen Fazit

Mehr

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten Klaus J. Müller, Senior IT Architekt 7. Tag der IT-Sicherheit, 19. Mai 2015, Karlsruhe Inhalt Über Ziele Stolperfallen

Mehr

MEET THE IT- SECURITY WIZARDS

MEET THE IT- SECURITY WIZARDS MEET THE IT- SECURITY WIZARDS MEET THE IT-SECURITY 2011 WIZARDS 2011 I T - D E F E N S E MEET THE IT-SECURITY WIZARDS Willkommen IT-DEFENSE 2011 IT-DEFENSE Benvenutó 2011 Welcome IT-DEFENSE 2011 Tervetuloa

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Track 1: BYOD Do s and Dont s für KMU. Mark Semmler, Antago GmbH Stefan Rüeger, Studerus AG

Track 1: BYOD Do s and Dont s für KMU. Mark Semmler, Antago GmbH Stefan Rüeger, Studerus AG Track 1: BYOD Do s and Dont s für KMU Mark Semmler, Antago GmbH Stefan Rüeger, Studerus AG Agenda Überblick WLAN: MultiSSID und VLAN WLAN: 802.1x-User-Authentication WLAN: L2TP-VPN Wired-LAN: Port-Security

Mehr

BYOD im Unternehmen Unterwegs zur sicheren Integration

BYOD im Unternehmen Unterwegs zur sicheren Integration BYOD im Unternehmen Unterwegs zur sicheren Integration 15. ISSS Berner Tagung für Informationssicherheit «Bring your own device: Chancen und Risiken» 27. November 2012, Allegro Grand Casino Kursaal Bern

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Mission Critical Mobile Solutions

Mission Critical Mobile Solutions Mission Critical Mobile Solutions Anwendungsmöglichkeiten sowie Sicherheitsaspekte im Bereich Mobility und Situational Awareness Dipl.-Ing. Rainer Halanek Dr. Dan Temmer FREQUENTIS 2012 Datum: 2012-06-05

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Komplettlösung aus einer Hand Firewall, Standortvernetzung, sicherer externer Zugriff über PCs, Notebooks und Tablets

Komplettlösung aus einer Hand Firewall, Standortvernetzung, sicherer externer Zugriff über PCs, Notebooks und Tablets Komplettlösung aus einer Hand Firewall, Standortvernetzung, sicherer externer Zugriff über PCs, Notebooks und Tablets Fachvortrag anlässlich des IT-Events perspektive.it am 11. September 2014 in der Villa

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de Apple iphone und ipad im Unternehmen Ronny Sackmann ronny.sackmann@cirosec.de Agenda Einführung Bedrohungen Integrierte Schutzfunktionen Sicherheitsmaßnahmen Zentrale Verwaltungswerkzeuge Zusammenfassung

Mehr

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Dr. Ralf Stodt Senior Consultant Business Development, CISSP Endpoint Security & IAM www.integralis.com Absicherung

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co.

Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co. Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co. Carsten Hoffmann Presales Manager City Tour 2011 1 Sicherheitskonzepte in Zeiten von Epsilon, RSA, HBGary, Sony & Co. Carsten Hoffmann Presales

Mehr

Digicomp Hacking Day 2013 Erfahrungen aus über 10 Jahren Audits. 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 Erfahrungen aus über 10 Jahren Audits. 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned Andreas Wisler, CEO GO OUT Production GmbH 1 Fakten Hacker haben den Weg ins Internet gefunden Quelle: Schweizer Familie 40/11 Fakten 2012: 93 150

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Firewall Szenarien für Unternehmen. Agenda

Firewall Szenarien für Unternehmen. Agenda Firewall Szenarien für Unternehmen Daniel Beuchler Agenda Herausforderung Netzwerksicherheit in Unternehmen Bausteine moderner Firewallsysteme Architekturen für unterschiedlichen Sicherheitsbedarf Security

Mehr

Hacking. Seminare. IT-Sicherheit COMPLIANCE / SICHERHEIT. Datenschutz. Forensic. Datensicherheit. Penetration Testing. www.edc.de

Hacking. Seminare. IT-Sicherheit COMPLIANCE / SICHERHEIT. Datenschutz. Forensic. Datensicherheit. Penetration Testing. www.edc.de Seminare & Coaching Consulting Raumvermietung Geförderte Weiterbildung Testcenter Hacking Datenschutz Seminare Datensicherheit Forensic IT-Sicherheit Penetration Testing EDC-Business Computing GmbH COMPLIANCE

Mehr

IT-Sicherheit Herausforderung für Staat und Gesellschaft

IT-Sicherheit Herausforderung für Staat und Gesellschaft IT-Sicherheit Herausforderung für Staat und Gesellschaft Michael Hange Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bonn, 28. September 2010 www.bsi.bund.de 1 Agenda Das BSI Bedrohungslage

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Info-Veranstaltung Sicherheit im Netz

Info-Veranstaltung Sicherheit im Netz Info-Veranstaltung Sicherheit im Netz Zusatz für gewerbliche Anwender Senioren Computer Club Bad Endbach Förderverein Jeegels Hoob Gewerbeverein Bad Endbach Christian Schülke Bad Endbach, 26.02.2008 Agenda

Mehr

10.15 Frühstückspause

10.15 Frühstückspause 9:00 Begrüßung und Vorstellung der Agenda 9:15 10.15 Datenschutz, Compliance und Informationssicherheit: Wie halten Sie es mit Ihren Daten? Aktuelle Herausforderungen für mittelständische Unternehmen Thomas

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

BYOD: Sicherer Zugriff auf das Unternehmensnetz und Verwaltung der Mobiles

BYOD: Sicherer Zugriff auf das Unternehmensnetz und Verwaltung der Mobiles Pallas Security Colloquium BYOD: Sicherer Zugriff auf das Unternehmensnetz und Verwaltung der Mobiles 16.10.2013 Referent: Stephan Sachweh Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße 8a

Mehr

04.06.2013. Mobile Business. SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs?

04.06.2013. Mobile Business. SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs? 04.06.2013 Mobile Business SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs? Kurze Vorstellung Mobile Geräte: Herausforderungen Mobile Geräte: Sicherheit Realisierungsbeispiel Fragen & Antworten

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

Mobile Security. Astaro 2011 MR Datentechnik 1

Mobile Security. Astaro 2011 MR Datentechnik 1 Mobile Astaro 2011 MR Datentechnik 1 Astaro Wall 6 Schritte zur sicheren IT Flexibel, Einfach und Effizient Enzo Sabbattini Pre-Sales Engineer presales-dach@astaro.com Astaro 2011 MR Datentechnik 2 Integration

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Unified Threat Management als Ersatz für das Microsoft TMG/IAG

Unified Threat Management als Ersatz für das Microsoft TMG/IAG Unified Threat Management als Ersatz für das Microsoft TMG/IAG Infotag 19.09.2013 Daniel Becker Microsoft TMG/IAG Einsatzzwecke Firewall Proxyserver AntiSpam Gateway Veröffentlichung von Webdiensten Seit

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Aspekte der Datensicherheit bei mobilen Lösungen Mobile im Business, aber sicher!

Aspekte der Datensicherheit bei mobilen Lösungen Mobile im Business, aber sicher! Aspekte der Datensicherheit bei mobilen Lösungen Mobile im Business, aber sicher! Veranstaltung: Mobile B2B, IHK Köln, 18.10.2011 Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Implementierung einer Check Point 4200 Appliance Next Generation Threat Prevention (NGTP)

Implementierung einer Check Point 4200 Appliance Next Generation Threat Prevention (NGTP) Projekthistorie 08/2014-09/2014 Sicherheitsüberprüfung einer Kundenwebseite auf Sicherheitslücken Juwelier Prüfung der Kundenwebseite / des Online-Shops auf Sicherheitslücken Penetration Tester Sicherheitsüberprüfung

Mehr

Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten

Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten Siemens Enterprise Communications Group Volker Burgers, Consultant Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten Version 1 Seite 1 BS MS Consulting & Design

Mehr

Security in Zeiten von Internet der Dinge. Udo Schneider Security Evangelist DACH

Security in Zeiten von Internet der Dinge. Udo Schneider Security Evangelist DACH Security in Zeiten von Internet der Dinge Udo Schneider Security Evangelist DACH Trend Micro Unsere Aktivitäten Unsere Methoden Unser Profil Anerkannter weltweit führender Anbieter von Server-, Cloudund

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

SophosUTM Mehr als nur eine Box!

SophosUTM Mehr als nur eine Box! SophosUTM Mehr als nur eine Box! Infinigate Security Day 2013 27. August 2013 1 Haben Sie noch den Überblick? Crackers Malvertising Android Malware ASCII Bombs DNS Poisoning Spit Bots Spyware Scam Ransomware

Mehr

Begrüßung & zur Sicherheitslage

Begrüßung & zur Sicherheitslage Begrüßung & zur Sicherheitslage Hergen Harnisch harnisch@rrzn.uni hannover.de Hergen Harnisch, Begrüßung & zur Sicherheitslage, 20. November 2012 Seite 1/25 Programm Montag 19.11.12 09:15 10:00 Sicherheitslage

Mehr

IBM Security Systems: Intelligente Sicherheit für die Cloud

IBM Security Systems: Intelligente Sicherheit für die Cloud : Intelligente Sicherheit für die Cloud Oliver Oldach Arrow ECS GmbH 2011 Sampling of Security Incidents by Attack Type, Time and Impact Conjecture of relative breach impact is based on publicly disclosed

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Sophos Cloud. Die moderne Art Sicherheit zu verwalten. Mario Winter Senior Sales Engineer

Sophos Cloud. Die moderne Art Sicherheit zu verwalten. Mario Winter Senior Sales Engineer Sophos Cloud Die moderne Art Sicherheit zu verwalten Mario Winter Senior Sales Engineer 1 Sophos Snapshot 1985 FOUNDED OXFORD, UK $450M IN FY15 BILLING (APPX.) 2,200 EMPLOYEES (APPX.) HQ OXFORD, UK 200,000+

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Sicherheitsaspekte beim Mobile Computing

Sicherheitsaspekte beim Mobile Computing Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Cyber Crime Fiktion oder Wirklichkeit

Cyber Crime Fiktion oder Wirklichkeit @-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Cyber Crime Fiktion oder Wirklichkeit add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de Firmenportrait Juni 2002 gegründet Sitz: Leichlingen/Rheinland

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Virtual Private Networks mit zentralem Management Bausteine einer ganzheitlichen Remote Access-Lösung

Virtual Private Networks mit zentralem Management Bausteine einer ganzheitlichen Remote Access-Lösung KompetenzTag 24.11.2004 Virtual Private Networks mit zentralem Management Bausteine einer ganzheitlichen Remote Access-Lösung Peter Söll (CEO) Internet ps@ncp.de www.ncp.de WAS IST UNTER EINER GANZHEITLICHEN

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Mobile Device Security Risiken und Schutzmaßnahmen

Mobile Device Security Risiken und Schutzmaßnahmen Mobile Device Security Risiken und Schutzmaßnahmen 17. 19. Februar 2014, Hamburg 26. 28. Mai 2014, Köln 27. 29. August 2014, Berlin 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen

Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen Christian Bruns, Informationssicherheit BTC Business Technology Consulting AG Vorstellung Vorstellung Christian Bruns Wirtschaftsinformatik

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

Umsetzung BSI Grundschutz

Umsetzung BSI Grundschutz Umsetzung BSI Grundschutz ISO 27001 auf der Basis von IT-Grundschutz - ein Erfahrungsbericht An den Steinen, die einem in den Weg gelegt werden, erkennt man erst, wo es langgeht IT-Grundschutztag 9.2.2012

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Management mobiler Geräte

Management mobiler Geräte Reiner Schmidt CIO Hochschule Ansbach Themen Motivation Wo stehn wir? Situation an Hochschulen Begriffsbestimmung Mobile Device Strategie Generell Strukturierung / Fokusierung HS Ansbach Fazit Es ist besser,

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Präsentation pco Geschäftsstrategie COURSE-Tagung 14. Mai 2012. Copyright by pco, Stand: 01. September 2010, Vers. 4.0

Präsentation pco Geschäftsstrategie COURSE-Tagung 14. Mai 2012. Copyright by pco, Stand: 01. September 2010, Vers. 4.0 Präsentation pco Geschäftsstrategie COURSE-Tagung 14. Mai 2012 pco Geschäftsmodell Networking & Security Managed DataCenter Services Virtualisierung & Application Delivery Managed Infrastructure Services

Mehr

Quo vadis? Internet-Sicherheit: ... Agenda. IT-Sicherheit ist ein komplexes Thema. Agenda. Internet-Sicherheit: quo vadis?

Quo vadis? Internet-Sicherheit: ... Agenda. IT-Sicherheit ist ein komplexes Thema. Agenda. Internet-Sicherheit: quo vadis? Agenda Internet-Sicherheit: Quo vadis? Internet-Sicherheit: quo vadis? IT-Sicherheit auf einem Bierdeckel Die eco-umfrage "Internet-Sicherheit 2012" Veranstaltung: VDE Köln in der Pallas GmbH 22. März

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Datensicherheit im Family Office

Datensicherheit im Family Office Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Datensicherheit im Family Office - vom systematischen Datendiebstahl bis zum zufälligen Vertwittern Wiesbaden, 27.04.2015 Agenda Zahlen und Fakten

Mehr

Sind Cloud Apps der nächste Hype?

Sind Cloud Apps der nächste Hype? Java Forum Stuttgart 2012 Sind Cloud Apps der nächste Hype? Tillmann Schall Stuttgart, 5. Juli 2012 : Agenda Was sind Cloud Apps? Einordnung / Vergleich mit bestehenden Cloud Konzepten Live Demo Aufbau

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

IT-Sicherheit Prof. Dr. Claudia Eckert

IT-Sicherheit Prof. Dr. Claudia Eckert IT-Sicherheit Prof. Dr. Claudia Eckert Technische Universität München Organisatorisches: Vorlesung 3 SWS, Übung 1 SWS: 5 Credit-Points Mi 16:00-17:30 MI HS2 (Vorlesung) Do 16:15-17:00 MI HS2 (Vorlesung)

Mehr

Cloud Services und Mobile Workstyle. Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix.

Cloud Services und Mobile Workstyle. Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix. Cloud Services und Mobile Workstyle Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix.com Mobile Workstyles Den Menschen ermöglichen, wann, wo und wie sie

Mehr